Velkommen til Spywarefri.

Klik på Start->Kør skriv Services.msc og klik OK.
Find Tjenesten DirectX Service (DirectFinv) stop den hvis den kører, højreklik på den, klik på Egenskaber og vælg Starttype Deaktiveret.
———————————————————-
Download og gem denne scanner på skrivebordet. Du skal ikke aktivere den endnu.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Se vejledningen her: http://fromsej.dk/Vejledninger/html/drweb.html
———————————————————-
Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

———————————————————-
Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik “Yes to All”, så fjerner den hvad den finder.
Når scanningen er færdig, gå op i file – Tryk på- Save Report list.
Så ligger der en en fil der her hedder “drweb.csv” på skrivebordet.
Luk Programmet.
———————————————————-
Genstart normalt og kom med en frisk Hijackthislog, dobbeltklik på drweb.csv og kopier teksten fra den herind.

Tusind tak indtil videre. Har gjort som beskrevet. Log er sat ind nedenfor. Jeg fik forresten brev fra Cybercity om, at min IP bliver misbrugt til spam :(.......... Hvordan ser det ud nu???

G6Service.exe;D:\Programmer\BPFTP Server;Trojan.Runas;Deleted.;
A0000018.exe;D:\System Volume Information\_restore{343CD42C-91D9-43A3-95C7-1D93F32DA0E4}\RP1;Trojan.Runas;Deleted.;
bpftpserver-service.exe;E:\Programmer\BPFTP Server;Trojan.Runas;Deleted.;

Logfile of HijackThis v1.99.1
Scan saved at 19:04:29, on 22-11-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programmer\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\System\PrdgPan.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programmer\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programmer\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmer\Logitech\SetPoint\SetPoint.exe
C:\Programmer\Fælles filer\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Partner\Skrivebord\Spywarefri\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PrdgPan] PrdgPan.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] “C:\Programmer\Fælles filer\Logitech\khalshared\KHALMNPR.EXE”
O4 - HKCU\..\Run: [H/PC Connection Agent] “D:\Programmer\Microsoft ActiveSync\wcescomm.exe”
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send til &Bluetooth;-enhed… - C:\Programmer\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: LBTWlgn - c:\programmer\fælles filer\logitech\bluetooth\LBTWlgn.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmer\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programmer\Fælles filer\Logitech\Bluetooth\LBTSERV.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Programmer\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe” “WMP54Gv4.exe (file missing)

Din HJT-log er fin nu, men det du skriver om spam får mig lyst til at se en log fra Combofix:

—Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

— Kør så combofix.exe, som du hentede tidligere, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Den er helt gal!!! Startede op her til morgen, og der er virkeligt meget netaktivitet…..... DEN SENDER STADIG SPAM!!!

Håber sindssygt meget at I kan hjælpe….. Udover at Cybercity pr. brev har informeret os om at de lukker for forbindelsen hvis ikke problemet klares (hvilket er forståeligt nok), bliver min linie utroligt sløv.

Skal I have mere info om programmer, hvilket jeg vil have til at starte op osv?

Log fra combofix:

Partner - 06-11-23 7:56:02,35   Service Pack 2
ComboFix 06.11.22 - Running from: “C:\Documents and Settings\Partner\Skrivebord”

(((((((((((((((((((((((((((((((  Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-22 23:21 <DIR> d————C:\Programmer\LingvoSoft
2006-11-22 12:48 <DIR> d————C:\Documents and Settings\Partner\DoctorWeb
2006-11-21 16:46 <DIR> d————C:\WINDOWS\system32\LogFiles
2006-11-21 15:54 <DIR> d————C:\Documents and Settings\Partner\Application Data\Logitech
2006-11-21 14:16 <DIR> d————C:\WINDOWS\Temp
2006-11-21 14:09 94,208—a———C:\WINDOWS\KHALMNPR.Exe
2006-11-21 14:09 71,936—a———C:\WINDOWS\system32\drivers\LMouKE.Sys
2006-11-21 14:09 69,632—a———C:\WINDOWS\system32\KemXML.dll
2006-11-21 14:09 55,936—a———C:\WINDOWS\system32\drivers\L8042MOU.SYS
2006-11-21 14:09 3,712—a———C:\WINDOWS\system32\drivers\LBeepKE.sys
2006-11-21 14:09 155,648—a———C:\WINDOWS\system32\kemutb.dll
2006-11-21 14:09 131,072—a———C:\WINDOWS\system32\KemUtil.dll
2006-11-21 14:09 110,592—a———C:\WINDOWS\system32\KemWnd.dll
2006-11-21 14:09 <DIR> d————C:\Programmer\Logitech
2006-11-20 19:51 24,576—a———C:\WINDOWS\system32\STKIT432.DLL
2006-11-20 14:43 816,672—a———C:\WINDOWS\system32\drivers\avg7core.sys
2006-11-20 14:43 4,224—a———C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-11-20 14:43 3,968—a———C:\WINDOWS\system32\drivers\avgclean.sys
2006-11-20 14:43 28,416—a———C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-11-20 14:43 18,240—a———C:\WINDOWS\system32\drivers\avgmfx86.sys
2006-11-20 14:43 <DIR> d————C:\Documents and Settings\Partner\Application Data\AVG7
2006-11-20 14:43 <DIR> d————C:\Documents and Settings\All Users\Application Data\Grisoft
2006-11-20 13:32 <DIR> d————C:\Programmer\ewido
2006-11-20 13:20 208,896—a———C:\WINDOWS\system32\nvudisp.exe
2006-11-20 13:19 208,896—a———C:\WINDOWS\system32\NVUNINST.EXE
2006-11-19 16:41 <DIR> d————C:\WINDOWS\system32\ActiveScan
2006-11-15 21:06 <DIR> d————C:\Documents and Settings\Partner\Application Data\iPodder
2006-11-14 10:55 <DIR> d————C:\WINDOWS\Internet Logs
2006-11-14 10:13 <DIR> d————C:\WINDOWS\LastGood
2006-11-14 09:53 <DIR> d————C:\Programmer\GiPo@Utilities
2006-11-14 09:53 <DIR> d————C:\Programmer\F‘lles filer\Gibinsoft Shared
2006-11-14 09:49 <DIR> d————C:\Programmer\Lavasoft
2006-11-11 17:30 76,560—a———C:\WINDOWS\system32\drivers\tmcomm.sys
2006-11-11 08:59 <DIR> d————C:\WINDOWS\LastGood.Tmp
2006-11-11 08:54 <DIR> d—hs——C:\WINDOWS\CSC
2006-11-10 11:58 <DIR> d————C:\Programmer\Softwin
2006-11-10 11:58 <DIR> d————C:\Programmer\F‘lles filer\Softwin
2006-11-10 11:53 <DIR> d————C:\Documents and Settings\All Users\Application Data\Avg7
2006-11-04 14:14 1,245,696—a———C:\WINDOWS\system32\msxml4.dll
2006-11-01 13:09 5,120—a———C:\WINDOWS\system32\ff_vfw.dll
2006-11-01 13:09 <DIR> d————C:\Programmer\ffdshow
2006-10-27 21:45 <DIR> d————C:\Documents and Settings\Partner\Application Data\Media Player Classic
2006-10-27 20:59 <DIR> d————C:\Documents and Settings\All Users\Application Data\nView_Profiles
2006-10-27 20:57 <DIR> d————C:\WINDOWS\nview

((((((((((((((((((((((((((((((((((((((((((((((((  Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))

Rootkit driver pe386 is present. A rootkit scan is required

2006-11-21 17:03————d————C:\Documents and Settings\Partner\Application Data\Azureus
2006-11-21 14:09————d————C:\Programmer\F‘lles filer\Logitech
2006-11-20 14:28————d————C:\Programmer\Grisoft
2006-11-19 17:07————d————C:\Programmer\WinRAR
2006-11-19 17:06————d————C:\Programmer\Internet Explorer
2006-11-14 09:53————d————C:\Programmer\F‘lles filer
2006-11-14 09:50————d————C:\Documents and Settings\Partner\Application Data\Lavasoft
2006-11-11 23:04 188468—a———C:\Programmer\serial.zip
2006-11-11 23:04 188468—a———C:\Programmer\serial.dat
2006-11-10 14:08 24064—a———C:\WINDOWS\system32\drivers\SysTool.sys
2006-10-27 21:12————d————C:\Programmer\Windows Media Player
2006-10-22 12:22 888832—a———C:\WINDOWS\system32\nvmobls.dll
2006-10-22 12:22 86016—a———C:\WINDOWS\system32\nvmctray.dll
2006-10-22 12:22 81920—a———C:\WINDOWS\system32\nvwddi.dll
2006-10-22 12:22 794624—a———C:\WINDOWS\system32\nvcplui.exe
2006-10-22 12:22 7700480—a———C:\WINDOWS\system32\nvcpl.dll
2006-10-22 12:22 581632—a———C:\WINDOWS\system32\nvhwvid.dll
2006-10-22 12:22 5644288—a———C:\WINDOWS\system32\nvoglnt.dll
2006-10-22 12:22 5619712—a———C:\WINDOWS\system32\nvdisps.dll
2006-10-22 12:22 5255168—a———C:\WINDOWS\system32\nvdispsr.dll
2006-10-22 12:22 466944—a———C:\WINDOWS\system32\nvshell.dll
2006-10-22 12:22 458752—a———C:\WINDOWS\system32\nvmccssr.dll
2006-10-22 12:22 4527488—a———C:\WINDOWS\system32\nv4_disp.dll
2006-10-22 12:22 45056—a———C:\WINDOWS\system32\nvmccsrs.dll
2006-10-22 12:22 442368—a———C:\WINDOWS\system32\nvappbar.exe
2006-10-22 12:22 425984—a———C:\WINDOWS\system32\keystone.exe
2006-10-22 12:22 3994624—a———C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-10-22 12:22 35840—a———C:\WINDOWS\system32\nvcodins.dll
2006-10-22 12:22 35840—a———C:\WINDOWS\system32\nvcod.dll
2006-10-22 12:22 335872—a———C:\WINDOWS\system32\nvwrses.dll
2006-10-22 12:22 335872—a———C:\WINDOWS\system32\nvwrsel.dll
2006-10-22 12:22 327680—a———C:\WINDOWS\system32\nvwrsfr.dll
2006-10-22 12:22 327680—a———C:\WINDOWS\system32\nvwrsesm.dll
2006-10-22 12:22 323584—a———C:\WINDOWS\system32\nvwrspt.dll
2006-10-22 12:22 323584—a———C:\WINDOWS\system32\nvwrsit.dll
2006-10-22 12:22 323584—a———C:\WINDOWS\system32\nvrshe.dll
2006-10-22 12:22 323584—a———C:\WINDOWS\system32\nvrsar.dll
2006-10-22 12:22 3203072—a———C:\WINDOWS\system32\nvgamesr.dll
2006-10-22 12:22 319488—a———C:\WINDOWS\system32\nvwrsptb.dll
2006-10-22 12:22 319488—a———C:\WINDOWS\system32\nvwrsnl.dll
2006-10-22 12:22 315392—a———C:\WINDOWS\system32\nvwrsru.dll
2006-10-22 12:22 315392—a———C:\WINDOWS\system32\nvwrshu.dll
2006-10-22 12:22 311296—a———C:\WINDOWS\system32\nvwrsde.dll
2006-10-22 12:22 311296—a———C:\WINDOWS\system32\nvexpbar.dll
2006-10-22 12:22 3047424—a———C:\WINDOWS\system32\nvgames.dll
2006-10-22 12:22 303104—a———C:\WINDOWS\system32\nvwrstr.dll
2006-10-22 12:22 303104—a———C:\WINDOWS\system32\nvwrssl.dll
2006-10-22 12:22 303104—a———C:\WINDOWS\system32\nvwrsfi.dll
2006-10-22 12:22 299008—a———C:\WINDOWS\system32\nvwrssk.dll
2006-10-22 12:22 299008—a———C:\WINDOWS\system32\nvwrsno.dll
2006-10-22 12:22 2973696—a———C:\WINDOWS\system32\nvvitvsr.dll
2006-10-22 12:22 294912—a———C:\WINDOWS\system32\nvwrssv.dll
2006-10-22 12:22 294912—a———C:\WINDOWS\system32\nvwrspl.dll
2006-10-22 12:22 294912—a———C:\WINDOWS\system32\nvwrsda.dll
2006-10-22 12:22 2924544—a———C:\WINDOWS\system32\nvvitvs.dll
2006-10-22 12:22 286720—a———C:\WINDOWS\system32\nvwrseng.dll
2006-10-22 12:22 286720—a———C:\WINDOWS\system32\nvwrscs.dll
2006-10-22 12:22 286720—a———C:\WINDOWS\system32\nvnt4cpl.dll
2006-10-22 12:22 2859008—a———C:\WINDOWS\system32\nvmoblsr.dll
2006-10-22 12:22 282624—a———C:\WINDOWS\system32\nvwrsar.dll
2006-10-22 12:22 278528—a———C:\WINDOWS\system32\nvwrshe.dll
2006-10-22 12:22 278528—a———C:\WINDOWS\system32\nvrsfr.dll
2006-10-22 12:22 274432—a———C:\WINDOWS\system32\nvrsit.dll
2006-10-22 12:22 274432—a———C:\WINDOWS\system32\nvrses.dll
2006-10-22 12:22 274432—a———C:\WINDOWS\system32\nvrsel.dll
2006-10-22 12:22 270336—a———C:\WINDOWS\system32\nvrsde.dll
2006-10-22 12:22 266240—a———C:\WINDOWS\system32\nvrspt.dll
2006-10-22 12:22 266240—a———C:\WINDOWS\system32\nvrsnl.dll
2006-10-22 12:22 266240—a———C:\WINDOWS\system32\nvrsesm.dll
2006-10-22 12:22 262144—a———C:\WINDOWS\system32\nvrsru.dll
2006-10-22 12:22 262144—a———C:\WINDOWS\system32\nvrsptb.dll
2006-10-22 12:22 262144—a———C:\WINDOWS\system32\nvrsja.dll
2006-10-22 12:22 258048—a———C:\WINDOWS\system32\nvrsko.dll
2006-10-22 12:22 253952—a———C:\WINDOWS\system32\nvrshu.dll
2006-10-22 12:22 249856—a———C:\WINDOWS\system32\nvrstr.dll
2006-10-22 12:22 249856—a———C:\WINDOWS\system32\nvrssl.dll
2006-10-22 12:22 249856—a———C:\WINDOWS\system32\nvrssk.dll
2006-10-22 12:22 249856—a———C:\WINDOWS\system32\nvrspl.dll
2006-10-22 12:22 249856—a———C:\WINDOWS\system32\nvrsno.dll
2006-10-22 12:22 245760—a———C:\WINDOWS\system32\nvrssv.dll
2006-10-22 12:22 245760—a———C:\WINDOWS\system32\nvrsda.dll
2006-10-22 12:22 241664—a———C:\WINDOWS\system32\nvrsfi.dll
2006-10-22 12:22 241664—a———C:\WINDOWS\system32\nvrseng.dll
2006-10-22 12:22 241664—a———C:\WINDOWS\system32\nvrscs.dll
2006-10-22 12:22 229376—a———C:\WINDOWS\system32\nvmccs.dll
2006-10-22 12:22 221184—a———C:\WINDOWS\system32\nvrszhc.dll
2006-10-22 12:22 212992—a———C:\WINDOWS\system32\nvwrsja.dll
2006-10-22 12:22 212992—a———C:\WINDOWS\system32\nvapi.dll
2006-10-22 12:22 196608—a———C:\WINDOWS\system32\nvwrsko.dll
2006-10-22 12:22 188416—a———C:\WINDOWS\system32\nvmccss.dll
2006-10-22 12:22 1732608—a———C:\WINDOWS\system32\nvwssr.dll
2006-10-22 12:22 167936—a———C:\WINDOWS\system32\nvwrszht.dll
2006-10-22 12:22 1662976—a———C:\WINDOWS\system32\nvwdmcpl.dll
2006-10-22 12:22 163840—a———C:\WINDOWS\system32\nvwrszhc.dll
2006-10-22 12:22 1622016—a———C:\WINDOWS\system32\nwiz.exe
2006-10-22 12:22 159810—a———C:\WINDOWS\system32\nvsvc32.exe
2006-10-22 12:22 147456—a———C:\WINDOWS\system32\nvcolor.exe
2006-10-22 12:22 1470464—a———C:\WINDOWS\system32\nview.dll
2006-10-22 12:22 1339392—a———C:\WINDOWS\system32\nvdspsch.exe
2006-10-22 12:22 1236992—a———C:\WINDOWS\system32\nvwss.dll
2006-10-22 12:22 118784—a———C:\WINDOWS\system32\nvrszht.dll
2006-10-22 12:22 1019904—a———C:\WINDOWS\system32\nvwimg.dll
2006-10-22 12:22 1011712—a———C:\WINDOWS\system32\nvcpluir.dll
2006-10-17 12:33 6049280————- C:\WINDOWS\system32\ieframe.dll
2006-10-17 12:33 50688————- C:\WINDOWS\system32\msfeedsbs.dll
2006-10-17 12:33 458752————- C:\WINDOWS\system32\msfeeds.dll
2006-10-17 12:33 413696—a———C:\WINDOWS\system32\vbscript.dll
2006-10-17 12:33 231424—a———C:\WINDOWS\system32\webcheck.dll
2006-10-17 12:33 180736————- C:\WINDOWS\system32\ieui.dll
2006-10-17 12:33 156160—a———C:\WINDOWS\system32\msls31.dll
2006-10-17 12:06 78336—a———C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960—a———C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336————- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984—a———C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376—a———C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408—a———C:\WINDOWS\system32\corpol.dll
2006-10-17 12:01 71680—a———C:\WINDOWS\system32\admparse.dll
2006-10-17 12:01 55296—a———C:\WINDOWS\system32\iesetup.dll
2006-10-17 12:01 382976—a———C:\WINDOWS\system32\iedkcs32.dll
2006-10-17 12:01 229376—a———C:\WINDOWS\system32\ieaksie.dll
2006-10-17 12:01 152064—a———C:\WINDOWS\system32\ieakeng.dll
2006-10-17 12:01 13312—a———C:\WINDOWS\system32\ieudinit.exe
2006-10-17 12:00 54784—a———C:\WINDOWS\system32\ie4uinit.exe
2006-10-17 12:00 43008—a———C:\WINDOWS\system32\iernonce.dll
2006-10-17 12:00 123904—a———C:\WINDOWS\system32\advpack.dll
2006-10-17 11:58 61952————- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288————- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352—a———C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752————- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568—a———C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128—a———C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928————- C:\WINDOWS\system32\ieapfltr.dll
2006-10-17 11:23 161792—a———C:\WINDOWS\system32\ieakui.dll
2006-10-13 13:39 65536—a———C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:39 64000—a———C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:39 142848—a———C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584—a———C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-12 08:08————d————C:\Programmer\Linksys Wireless-G PCI Wireless Network Monitor
2006-10-12 08:08————d————C:\Programmer\Google
2006-10-11 18:49————d—h——- C:\Programmer\InstallShield Installation Information
2006-10-11 11:21————d————C:\Programmer\MSN Messenger
2006-10-10 11:28 0—a———C:\wuxlbsl.exe
2006-10-10 11:27 0—a———C:\yidknjo.exe
2006-10-10 11:27 0—a———C:\rtos.exe
2006-10-10 11:27 0—a———C:\kosjlqeb.exe
2006-10-10 11:27 0—a———C:\jojg.exe
2006-10-10 11:26 0—a———C:\vesuyym.exe
2006-10-10 11:26 0—a———C:\sfokuk.exe
2006-10-10 11:26 0—a———C:\rrhedgnt.exe
2006-10-10 11:26 0—a———C:\exwfrso.exe
2006-10-10 11:07————d—-s——C:\Documents and Settings\Partner\Application Data\Microsoft
2006-10-10 10:57————d————C:\Programmer\Microsoft Games
2006-10-05 09:01————d————C:\Documents and Settings\Partner\Application Data\Skype
2006-10-04 08:15————d————C:\Programmer\Webteh
2006-10-02 12:48————d————C:\Documents and Settings\Partner\Application Data\Adobe
2006-10-02 12:24————d————C:\Programmer\F‘lles filer\Adobe Systems Shared
2006-10-02 12:24————d————C:\Programmer\F‘lles filer\Adobe
2006-09-27 13:38————d————C:\Programmer\Microsoft ActiveSync
2006-09-27 13:06————d————C:\Programmer\WIDCOMM
2006-09-26 10:26————d————C:\Programmer\PDAmill
2006-09-26 10:09————d————C:\Programmer\ePocket Solutions ASA
2006-09-13 06:06 1084416—a———C:\WINDOWS\system32\msxml3.dll
2006-09-06 16:43 22752—a———C:\WINDOWS\system32\spupdsvc.exe
2006-09-04 10:20 2508—a———C:\Documents and Settings\Partner\Application Data\$_hpcst$.hpc
2006-08-25 16:51 617472—a———C:\WINDOWS\system32\comctl32.dll
2006-08-14 10:26 94080—a—c—- C:\Documents and Settings\Partner\Application Data\ezplay.sys
2006-08-14 10:26 81920—a—c—- C:\Documents and Settings\Partner\Application Data\ezpinst.exe
2006-08-14 10:26 7176—a—c—- C:\Documents and Settings\Partner\Application Data\pcouffin.cat
2006-08-14 10:26 7172—a—c—- C:\Documents and Settings\Partner\Application Data\ezplay.cat
2006-08-14 10:26 47360—a—c—- C:\Documents and Settings\Partner\Application Data\pcouffin.sys
2006-08-14 10:26 34—a—c—- C:\Documents and Settings\Partner\Application Data\pcouffin.log
2006-08-14 10:26 34—a—c—- C:\Documents and Settings\Partner\Application Data\OFGWLYDA.log
2006-08-14 10:26 125—a—c—- C:\Documents and Settings\Partner\Application Data\OFGWLYDA.ini
2006-08-14 10:26 1144—a—c—- C:\Documents and Settings\Partner\Application Data\pcouffin.inf
2006-08-14 10:26 1103—a—c—- C:\Documents and Settings\Partner\Application Data\OFGWLYDA.inf
2006-08-03 10:37 62—ahs——C:\Documents and Settings\Partner\Application Data\desktop.ini


((((((((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
“H/PC Connection Agent”=”\“D:\\Programmer\\Microsoft ActiveSync\\wcescomm.exe\”“
“ctfmon.exe”=“C:\\WINDOWS\\system32\\ctfmon.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
“PrdgPan”=“PrdgPan.Exe”
“NvCplDaemon”=“RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup”
“nwiz”=“nwiz.exe /install”
“NvMediaCenter”=“RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit”
“AVG7_CC”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP”
“RegistryMechanic”=”“
“Kernel and Hardware Abstraction Layer”=“KHALMNPR.EXE”
“Logitech Hardware Abstraction Layer”=”\“C:\\Programmer\\Fælles filer\\Logitech\\khalshared\\KHALMNPR.EXE\”“
@=”“

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
“Installed”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
“Installed”=“1”
“NoChange”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
“Installed”=“1”

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
“DeskHtmlVersion”=dword:00000110
“DeskHtmlMinorVersion”=dword:00000005
“Settings”=dword:00000001
“GeneralFlags”=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Min aktuelle startside”
“Flags”=dword:00000002
“Position”=hex:2c,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e4,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
“CurrentState”=hex:04,00,00,40
“OriginalStateInfo”=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
“RestoredStateInfo”=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
“{438755C2-A8BA-11D1-B96B-00A0C90312E1}”=“Browseui preloader”
“{8C7461EF-2B13-11d2-BE35-3078302C2030}”=“Component Categories cache daemon”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”=”“
“{54D9498B-CF93-414F-8984-8CE7FDE0D391}”=“ewido shell guard”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=”“
“legalnoticetext”=”“
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
“PostBootReminder”=”{7849596a-48ea-486e-8937-a2a3009f31a9}”
“CDBurn”=”{fbeb8a05-beee-4442-804e-409d6c4515e9}”
“WebCheck”=”{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”
“SysTray”=”{35CEC8A3-2BE6-11D2-8773-92E220524153}”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Adobe Acrobat Speed Launcher.lnk]
“backup”=“C:\\WINDOWS\\pss\\Adobe Acrobat Speed Launcher.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\WINDOWS\\Installer\\{AC76BA86-1033-0000-7760-000000000002}\\SC_Acrobat.exe “
“item”=“Adobe Acrobat Speed Launcher”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Adobe Reader Hurtigstart.lnk]
“backup”=“C:\\WINDOWS\\pss\\Adobe Reader Hurtigstart.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE “
“item”=“Adobe Reader Hurtigstart”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^hp psc 2000 Series.lnk]
“backup”=“C:\\WINDOWS\\pss\\hp psc 2000 Series.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpobnz08.exe “
“item”=“hp psc 2000 Series”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^hpoddt01.exe.lnk]
“backup”=“C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe “
“item”=“hpoddt01.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^RAID Manager.lnk]
“backup”=“C:\\WINDOWS\\pss\\RAID Manager.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\PROGRA~1\\ITE\\ITEIT8~1\\RaidMgr.exe “
“item”=“RAID Manager”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=”“
“hkey”=“HKLM”
“command”=”“
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“Acrotray”
“hkey”=“HKLM”
“command”=”\“C:\\Programmer\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\”“
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“NMBgMonitor”
“hkey”=“HKCU”
“command”=”\“C:\\Programmer\\Fælles filer\\Ahead\\lib\\NMBgMonitor.exe\”“
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P 2006]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“Flight Simulator X”
“hkey”=“HKLM”
“command”=“Flight Simulator X”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“msmsgs”
“hkey”=“HKCU”
“command”=”\“C:\\Programmer\\Messenger\\msmsgs.exe\” /background”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“NeroCheck”
“hkey”=“HKLM”
“command”=“C:\\WINDOWS\\system32\\NeroCheck.exe”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“NvCpl”
“hkey”=“HKLM”
“command”=“RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“qttask”
“hkey”=“HKLM”
“command”=”\“C:\\Programmer\\QuickTime\\qttask.exe\” -atboottime”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“jusched”
“hkey”=“HKLM”
“command”=“C:\\Programmer\\Java\\jre1.5.0_06\\bin\\jusched.exe”
“inimapping”=“0”

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn\Event

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
“SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll”

Contents of the ‘Scheduled Tasks’ folder
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1154636652.job

Completion time: 06-11-23 7:57:21.95
C:\ComboFix.txt ... 06-11-23 07:57

Du har også bl.a fået et rootkit, så vi prøver lige om vi kan fjerne det på den nemme måde:

Download free Trial af SuperAntiSpyware Pro til Skrivebordet:

http://www.superantispyware.com/downloads/SUPERAntiSpywarePro1241.exe

Installer den, og lad den opdatere med nyeste opdateringer.

Så vil den spørge om din mail adresse, det er op til dig selv om du vil udfylde det.Tryk så på Næste og Næste igen -Udfør.

Dansk vejledning her:
http://www.spywarefri.dk/manualer/superantispyware-manual.htm

Luk progammet.

Og denne -

Hent Ccleaner: Ccleaner
Installer programmet, men lad vær med at køre det endnu!
Husk at vælge dansk ved installationen.
Fjern flueben ved - Tilføj Yahoo Toolbar. Hvis du ikke ønsker den.
Ccleaner programmet fjerner overflødige Temp filer.
Og gør de nedenstående scanninger hurtigere

Jeg vil foreslå at du printer nedenstående ud, da du ikke kan se vejledingen i fejlsikret tilstand

Genstart til fejlsikret tilstand. Du trykker f8 nogle gange når Windows starter op.

Kør CCleaner.
Tryk så på “Renser” i menuen i venstre side.
Nu skal du trykke på knappen “Kør Cleaner” - det gør du mindst 2 gange.
Luk programmet.

Start superantispyware, klik på Scan your Computer, sæt flueben i de drev der skal scannes.

Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.

Lad den genstarte.

Start programmet igen, klik på Preferences, skift til fanebladet Statistics/Logs. I vinduet dobbeltklikker du på SUPERAntiSpyware Scan Log. Den åbner i notesblok, kopier resultatet herind.

Send Superantispyware loggen herind og fortæl hvordan computeren opfører sig nu

Er gjort. Kan ikke sige hvordan computeren opfører sig endnu, da der nogen gange går lidt tid før den starter sin netaktivitet op.

Er alt ok nu?

Loggen så sådan her ud:

SUPERAntiSpyware Scan Log
Generated 11/23/2006 at 08:44 AM

Application Version : 3.3.1020

Core Rules Database Version : 3135
Trace Rules Database Version: 1152

Scan type     : Complete Scan
Total Scan Time : 00:07:57

Memory items scanned     : 164
Memory threats detected   : 0
Registry items scanned   : 5360
Registry threats detected : 0
File items scanned     : 9862
File threats detected   : 1

Adware.Tracking Cookie
C:\Documents and Settings\LocalService\Cookies\system@trackthatad[2].txt

Det var ikke meget den fandt -

Hent dette værktøj, og gem det på skrivebordet:
http://www.uploads.ejvindh.net/rustbfix.exe

Dobbeltklik på værktøjet. Hvis værktøjet finder en Rustock-infektion, vil du efter kort tid blive bedt om at genstarte computeren. Dette skal du så acceptere. Genstarten vil muligvis tage et godt stykke tid, og måske skal der 2 genstarter til, men dette vil ske helt automatisk. Når genstarten er færdig vil der åbnes 2 logfiler, som du skal kopiere ind i tråden.

Er gjort. Vil I også have en Hijack-this? Loggen ser sådan ud:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vsvbatrb

*******************

Script file located at: \??\C:\WINDOWS\enqaqvnj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.

Vi venter lige med en hijackthis log

Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

—Pak Avenger-programmet ud og dobbeltklik på avenger.exe

—Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

——————————————-
Files to delete:
C:\wuxlbsl.exe
C:\yidknjo.exe
C:\rtos.exe
C:\kosjlqeb.exe
C:\jojg.exe
C:\vesuyym.exe
C:\sfokuk.exe
C:\rrhedgnt.exe
C:\exwfrso.exe

——————————————-

—Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

Kør Hijackthis, Klik på “Open the Misc tools section”, “Open ADS spy…”, fjern alle flueben, og klik på den øverste “Scan”-knap. Så dukker en liste med filer op, som har vedhæftede ADS.

—Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar sammen med resultatet Adsspy scanningen.

Først: Hvor er det super I gider at hjælpe - det er virkeligt værdsat!

Dernæst: Jeg kan fra scanningen se, at der er en del filer (billeder thumbs) med vores navne + adresser på. Dem vil jeg helst ikke have publiceret på nettet. Kan jeg sende loggen direkte til dig pr. pm?

Kan du ikke- i første omgang - gemme loggen, pille billedfilerne fra, eller overskrive navnene med xxxx´er og så sende loggen herind, sammen med avenger loggen

Jo, det gør jeg: Har også sendt pr. pm.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xfpnriby

*******************

Script file located at: \??\C:\WINDOWS\system32\ehvytbtn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\wuxlbsl.exe deleted successfully.
File C:\yidknjo.exe deleted successfully.
File C:\rtos.exe deleted successfully.
File C:\kosjlqeb.exe deleted successfully.
File C:\jojg.exe deleted successfully.
File C:\vesuyym.exe deleted successfully.
File C:\sfokuk.exe deleted successfully.
File C:\rrhedgnt.exe deleted successfully.
File C:\exwfrso.exe deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

—————-

C:\Documents and Settings\All Users\Dokumenter\Billeder\Billedeksempler\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\All Users\Dokumenter\Musik\Musikeksempler\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Backup af kort\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Billeder\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Billeder fra Kreta\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Billeder fra Kreta2\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Billeder fra T’s pda\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Blandet, XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Blandet, fødselsdag, hus sommer\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\diverse\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Fars fødselsdag\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Film fra kamera\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\forår\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Haven\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\lillis koncert m.m\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Maj 2006\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Microsoft Clip Organizer\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Midlertidige billeder\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Ny mappe\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Privat\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX, koncert\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\Tilbygninger\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Billeder\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\Billeder\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\Billeder fra hyttetur\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\Modtagne filer\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\XXXX: SummaryInformation (88 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\XXXX{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\XXXX: SummaryInformation (88 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\XXXX: {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\XXXX\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Dokumenter\Videoer\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Partner\Dokumenter\Musik\Ridin Thumb - Work it out.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Foretrukne\dr.dk › DR1 › Penge › Pas på registreringsafgiften.url : favicon (1078 bytes)
C:\Documents and Settings\Partner\Foretrukne\Find Billige Flybilletter – Momondo.url : favicon (2294 bytes)
C:\Documents and Settings\Partner\Lokale indstillinger\Temporary Internet Files\Content.IE5\GGZ644EG\blbetac[1].exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\avenger.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\ccsetup134.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\combofix.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\disassembly.rar : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\FSX_Keyboard_Commands.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Programmer\drweb-cureit.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Programmer\setpoint310.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Programmer\TPTEST3.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\rustbfix.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\sharedaccess.reg : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Spywarefri\cleantempxp2k.bat : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Spywarefri\ewido.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\SUPERAntiSpywarePro1241.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Partner\Skrivebord\Tomtom software\Andrzej.zip : Zone.Identifier (26 bytes)
C:\NVIDIA\93.71_forceware_winxp2k_international_whql.exe : Zone.Identifier (26 bytes)
D:\Backup filer\incoming2\Thumbs.db : encryptable (0 bytes)
D:\Downloads\01 Når Jeg Dør (album version).wma : Zone.Identifier (26 bytes)
D:\Downloads\afsdf\asdf\Thumbs.db : encryptable (0 bytes)
D:\Downloads\afsdf\fd\Thumbs.db : encryptable (0 bytes)
D:\Programmer\XXXX : Zone.Identifier (26 bytes)
D:\Programmer\XXXX: Zone.Identifier (26 bytes)
D:\Programmer\XXXXXXXXX.zip : Zone.Identifier (26 bytes)
D:\Programmer\Microsoft ActiveSync\PocketMVP\PocketMVP_ARM.cab : Zone.Identifier (26 bytes)
D:\Programmer\Microsoft ActiveSync\PocketMVP\PocketMVP_MIPS.cab : Zone.Identifier (26 bytes)
D:\Programmer\Microsoft ActiveSync\PocketMVP\PocketMVP_SH3.cab : Zone.Identifier (26 bytes)
D:\Programmer\Reflex\Heli\Trex-xtr\trex450xl-sp.par : Zone.Identifier (26 bytes)
D:\Programmer\Reflex\Heli\Trex-xtr\trex450xl.mod : Zone.Identifier (26 bytes)
D:\Programmer\Reflex\Heli\Trex-xtr.zip : Zone.Identifier (26 bytes)
D:\Programmer\Sega\OutRun2006 Coast 2 Coast\rld-oc2c.rar : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\basic.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\contributors.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\examples.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\history.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\id3.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\index.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\lame.css : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\lame.exe : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\lameACM.acm : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\LameACM.inf : Zone.Identifier (0 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\lame_acm.xml : Zone.Identifier (0 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\lame_enc.dll : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\modes.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\node6.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\presets.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1\switchs.html : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame3.96.1.zip : Zone.Identifier (26 bytes)
D:\Programmer\Virtuosa\Plugins\MpgL3\lame_enc.dll : Zone.Identifier (26 bytes)
D:\Programmer\Xvid\free-codecs.txt : Zone.Identifier (26 bytes)
D:\Programmer\Xvid\XviD-1.1.0-Beta2-04042005.exe : Zone.Identifier (26 bytes)
E:\Backup af bærbar\Billeder\Billeder fra hyttetur\Thumbs.db : encryptable (0 bytes)
E:\Backup af bærbar\Billeder\Billeder, udvidelseskort\Thumbs.db : encryptable (0 bytes)
E:\Backup af bærbar\Incoming\Alle ting\Season 3\Thumbs.db : encryptable (0 bytes)
E:\Backup af bærbar\Incoming\Spil - Programmer\ttnav224\tomtom navigator 224\ttn224\Thumbs.db : encryptable (0 bytes)
E:\Programmer\MadOnion.com\3DMark03_v360_installer-[guru3d.com].exe : Zone.Identifier (26 bytes)

Jeg flytter lige tråden over i rootkit afdelingen, der er er lidt andre regler, som du kan læse om her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29320

Jeps….. Har læst reglerne. Kan du kort opridse hvordan du kan se at jeg har et rootkit? Har lige læst lidt om det, og det lyder jo ikke rart :(