Hej cardigan og velkommen

Der er kun et par småting i loggen -

Kør en scanning med Hijackthis, så du kan se alle filer.

Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet.Nu må du fixe. Klik på Fix checked:
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

Opdater sun java:
Hvis du har nogen røde tal her, så hent opdateringer
http://kundeservice.tdc.dk/testcenter/

Kan du højreklikke på disse to:
setup.exe
autorun

og se/fortælle hvor de kommer fra, eller hvad du nu kan finde af oplysninger om dem

Kære Magic.

Tak for det hurtige svar.

Jeg har nu fixet de to linier i HijackThis-loggen, der er anført i dit svar.

Jeg har opdateret Java.

Jeg har undersøgt de to intrængende filer ‘setup.exe’ og ‘autorun’ med følgende resultat:
  ‘autorun’ kan åbnes i Notesblok, hvor den blot viser et kald af ‘setup.exe’.
  ‘setup.exe’ kan ikke åbnes i Notesblok.
  Ingen af de to filer har oplysninger anført under ‘Dokumentinfo’, idet der dog for ‘setup.exe’ vises følgende under avanceret:
  Program\Avanceret

Windows PIF-indstillinger

Brugerdefinerede MS-DOS-initialiseringsfiler

Autoexec-filnavn: %SystemRoot%\SYSTEM32\AUTOEXEC.NT
Config-filnavn: %SystemRoot%\SYSTEM32\CONFIG.NT

Jeg håber, at dette er brugbar information.

Venlig hilsen
Cardigan
 

Det var ikke mange oplysninger de indeholdt, men skidt med det

Download prøve version af Spysweeper
http://www.spywarefri.dk/downloads1.htm
Installer og opdater (check for definition/Program update)

Tryk på - options- fanen, så på - sweep - fanen, sæt den så til - custom sweep, ved - custom sweep settings, trykker du på - change settings, derefter på - what to sweep, så kan du vælge hvad der skal scannes
Sæt flueben ved nedenstående, hvis de ikke er der i forvejen:
Windows registry
Memory objekt
Cookies
Systemrestore folder
Sweep all user accounts
Enable direct disc sweeping
Sweep for rootkits

Kør så en Sweep. Når scanningen er færdig, tryk på- Quarintine Selected
Derefter- view session log. Tryk på – Save to file, gem filen på skrivebordet.

Genstart normalt, højreklik på hijackthis exe filen og omdøb den til hjt exe

Kopier den øverste del af Spysweeper loggen herind, til og med –
Start of Session
********

Sammen med en hijackthis log fra hjt exe og fortæl hvordan tingene ser ud nu

Kære Magic.

Tak for dit svar. I henhold til dine instruktioner er Spysweeper loggen og HijackThis loggen kopieret nedenfor.

Det to indtrængende filer - autorun og detup.exe - dukker fortsat op.

Med venlig hilsen
Cardigan

Spysweeper log:

17:22: Removal process completed.  Elapsed time 00:00:07
17:22:  Quarantining All Traces: 3 cookie
17:22: Removal process initiated
17:21: Access to Hosts file blocked for C:\PROGRAMMER\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
17:21: Access to Hosts file blocked for C:\PROGRAMMER\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
17:20: Traces Found: 1
17:20: Full Sweep has completed.  Elapsed time 00:55:58
17:20: File Sweep Complete, Elapsed Time: 00:48:56
16:31: Starting File Sweep
16:31: Cookie Sweep Complete, Elapsed Time: 00:00:01
16:31:  c:\documents and settings\jens ellekær\cookies\jens ellekær@www.3[1].txt (ID = 1960)
16:31:  Found Spy Cookie: 3 cookie
16:31: Starting Cookie Sweep
16:31: Registry Sweep Complete, Elapsed Time:00:01:15
16:29: Starting Registry Sweep
16:29: Memory Sweep Complete, Elapsed Time: 00:05:33
16:24: Starting Memory Sweep
16:24: Sweep initiated using definitions version 808
16:24: Spy Sweeper 5.0.5.1286 started
16:24: |    Start of Session, 25. november 2006     |
********

HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:51, on 25-11-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\ScanWizard 5\ScannerFinder.exe
C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Webroot\Spy Sweeper\SSU.EXE
C:\Programmer\Microsoft Office\Office\WINWORD.EXE
C:\Programmer\Polob32\Nudan41\polndo41.exe
C:\Documents and Settings\Jens Ellekær\Skrivebord\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://signon.stofanet.dk/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVG7_CC] “C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe” /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] “C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe”
O4 - HKLM\..\Run: [QuickTime Task] “C:\Programmer\QuickTime\qttask.exe” -atboottime
O4 - HKLM\..\Run: [TkBellExe] “C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe”  -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] “C:\Programmer\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe”
O4 - HKLM\..\Run: [AdaptecDirectCD] “C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe”
O4 - HKLM\..\Run: [!AVG Anti-Spyware] “C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized
O4 - HKLM\..\Run: [SpySweeper] “C:\Programmer\Webroot\Spy Sweeper\SpySweeperUI.exe” /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] “C:\Programmer\Messenger\MSMSGS.EXE” /background
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [updateMgr] “C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe” AcRdB0_0_0 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] “C:\Programmer\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: emprun.lnk = C:\Programmer\Empty Temp Folders 2.8.3\emprun.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programmer\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Download; with TrueDownloader! - C:\Programmer\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {11818680-FCF6-11D0-9808-0800092A4865} (Adobe Form Control) - http://www.diaform.dk/menu/config/version5_ny/Codebase/FormCtl.CAB
O16 - DPF: {1469FF24-47F6-11D2-8805-006008C537E3} (Adobe Mail Control) - http://www.diaform.dk/menu/config/version5_ny/codebase/ffmail.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1E69721D-9104-11D3-82D3-D06650C10000} (DafoloControl Class) - http://www.diaform.dk/menu/config/version5_ny/codebase/Dafolo.cab
O16 - DPF: {224F7DEA-B7C1-11D3-AB40-00902712A5C9} (PLSAddin Class) - http://www.diaform.dk/menu/config/version5_ny/codebase/plsspeller.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136237982562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143504793218
O16 - DPF: {92EB6641-286A-11D2-A68E-00A0C996A6DD} (Adobe Signature Object) - http://www.diaform.dk/menu/config/version5_ny/codebase/jfsignature.cab
O16 - DPF: {CDDCFBB3-4D93-11D2-B1A9-00A0C9B742BE} (Adobe Script Object) - http://www.diaform.dk/menu/config/version5_ny/codebase/scriptobject.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {EF2FB80F-0975-408E-A871-B00CC863478A} (Adobe Soft Font Installer) - http://www.diaform.dk/menu/config/version5_ny/codebase/fontinstaller.cab
O16 - DPF: {F4F6546F-FBA9-11D1-8AFB-080009ECFDC5} (Adobe ListBox Control) - http://www.diaform.dk/menu/config/version5_ny/codebase/listbox.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe

Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

—Kør så combofix.exe, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Kære Fromsej.

Tak for den seneste instruktion. Logfilen fra Combofix er kopieret nedenfor.

Med venlig hilsen
Cardigan

Jens Ellek‘r - 06-11-26 14:29:36,20   Service Pack 2
ComboFix 06.11.26 - Running from: “C:\Documents and Settings\Jens Ellek‘r\Skrivebord\Spywarefri”

(((((((((((((((((((((((((((((((  Files Created from 2006-10-26 to 2006-11-26 ))))))))))))))))))))))))))))))))))


2006-11-25 17:31 <DIR> d————C:\WINDOWS\Temp
2006-11-25 16:12 15,360—a———C:\WINDOWS\system32\drivers\sshrmd.sys
2006-11-25 16:12 14,848—a———C:\WINDOWS\system32\drivers\sskbfd.sys
2006-11-25 16:12 13,824—a———C:\WINDOWS\system32\drivers\SSFS041A.sys
2006-11-25 16:12 117,248—a———C:\WINDOWS\system32\drivers\ssidrv.sys
2006-11-25 16:12 <DIR> d————C:\Programmer\Webroot
2006-11-25 16:12 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\Application Data\Webroot
2006-11-25 16:12 <DIR> d————C:\Documents and Settings\All Users\Application Data\Webroot
2006-11-23 20:28 <DIR> d—h——- C:\WINDOWS\PIF
2006-11-23 01:56 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\Local Settings
2006-11-23 01:36 3,968—a———C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-23 01:29 <DIR> d————C:\Programmer\ewido
2006-11-03 13:49 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\DoctorWeb
2006-10-27 00:58 3,968—a———C:\WINDOWS\system32\drivers\avgclean.sys

((((((((((((((((((((((((((((((((((((((((((((((((  Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-26 13:48————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\Skype
2006-11-25 02:35————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\AVG7
2006-11-25 00:39————d————C:\Programmer\Viking40
2006-11-23 21:06————d————C:\Programmer\Java
2006-11-23 01:35————d————C:\Programmer\Grisoft
2006-11-20 04:35————d————C:\Programmer\Navision Financials
2006-11-17 03:01————d————C:\Programmer\Internet Explorer
2006-11-01 22:56 816672—a———C:\WINDOWS\system32\drivers\avg7core.sys
2006-10-31 19:49————d————C:\Programmer\Google
2006-10-27 00:58 4960—a———C:\WINDOWS\system32\drivers\avgtdi.sys
2006-10-27 00:58 4224—a———C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-10-27 00:58 28416—a———C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-10-27 00:56 44288—a———C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-10-22 02:11 0—a———C:\WINDOWS\system32\CMMGR32.EXE
2006-10-22 02:11————d————C:\Programmer\ScanWizard 5
2006-10-22 02:08————d————C:\Programmer\SUPERAntiSpyware
2006-10-22 02:08————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\SUPERAntiSpyware.com
2006-10-14 23:26————d————C:\Programmer\Skype
2006-10-13 13:39 142848—a———C:\WINDOWS\system32\nwprovau.dll
2006-09-13 06:06 1084416—a———C:\WINDOWS\system32\msxml3.dll
2006-08-05 02:11 1055—a———C:\Documents and Settings\Jens Ellek‘r\Application Data\AdobeDLM.log


((((((((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\ctfmon.exe”
“MSMSGS”=”\“C:\\Programmer\\Messenger\\MSMSGS.EXE\” /background”
“PhotoShow Deluxe Media Manager”=“C:\\PROGRA~1\\SIMPLE~1\\PHOTOS~1\\data\\Xtras\\mssysmgr.exe”
“updateMgr”=”\“C:\\Programmer\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\” AcRdB0_0_0 -reboot 1”
“swg”=“C:\\Programmer\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe”
“Skype”=”\“C:\\Programmer\\Skype\\Phone\\Skype.exe\” /nosplash /minimized”
“SUPERAntiSpyware”=“C:\\Programmer\\SUPERAntiSpyware\\SUPERAntiSpyware.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
“AVG7_CC”=”\“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe\” /STARTUP”
“SunJavaUpdateSched”=”\“C:\\Programmer\\Java\\jre1.5.0_09\\bin\\jusched.exe\”“
“QuickTime Task”=”\“C:\\Programmer\\QuickTime\\qttask.exe\” -atboottime”
“TkBellExe”=”\“C:\\Programmer\\Fælles filer\\Real\\Update_OB\\realsched.exe\”  -osboot”
“Ulead AutoDetector”=”\“C:\\Programmer\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe\”“
“AdaptecDirectCD”=”\“C:\\Programmer\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\”“
“!AVG Anti-Spyware”=”\“C:\\Programmer\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\” /minimized”
“SpySweeper”=”\“C:\\Programmer\\Webroot\\Spy Sweeper\\SpySweeperUI.exe\” /startintray”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
“Installed”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
“NoChange”=“1”
“Installed”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
“Installed”=“1”

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
“DeskHtmlVersion”=dword:00000110
“DeskHtmlMinorVersion”=dword:00000005
“Settings”=dword:00000001
“GeneralFlags”=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Min aktuelle startside”
“Flags”=dword:00000002
“Position”=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
“CurrentState”=hex:04,00,00,40
“OriginalStateInfo”=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
  00,00,04,00,00,40
“RestoredStateInfo”=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\System32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\System32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
“{438755C2-A8BA-11D1-B96B-00A0C90312E1}”=“Browseui preloader”
“{8C7461EF-2B13-11d2-BE35-3078302C2030}”=“Component Categories cache daemon”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”=”“
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”=”“
“{54D9498B-CF93-414F-8984-8CE7FDE0D391}”=“ewido shell guard”
“{57B86673-276A-48B2-BAE7-C6DBB3020EB8}”=“AVG Anti-Spyware 7.5”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=”“
“legalnoticetext”=”“
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
“PostBootReminder”=”{7849596a-48ea-486e-8937-a2a3009f31a9}”
“CDBurn”=”{fbeb8a05-beee-4442-804e-409d6c4515e9}”
“WebCheck”=”{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”
“SysTray”=”{35CEC8A3-2BE6-11D2-8773-92E220524153}”

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
“SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll”

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WebrootSpySweeperService
Completion time: 06-11-26 14:35:45.73
C:\ComboFix.txt ... 06-11-26 14:35

Prøv lige at installere TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/?aff=19652
Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne eventuelle trojanske heste fra din computer.

Kære Fromsej.

Jeg har nu installeret TrojanHunter og scannet, men uden resultat, som vist her:

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
No trojan files found

Lad mig opsummere situationen:

Gennem knap en måned har filerne ‘setup.exe’ af typen program og ‘autorun’ af typen installationsoplysninger daglig placeret sig i mit system.

Placeringen er /Documents and settings/All users/Delte dokumenter.

Filerne er underlagt en vis dynamik. ‘setup.exe’ varierer i størrelse fra 35 til 40 kB. Hvis de får lov at blive stående, ændres tidspunktet for ændring af filen.

AVG identificerer trojaner af typen Genericx.xx (i begyndelsen af perioden) og af typen Proxyx.xx (senest i perioden). ‘setup.exe’ indeholder ikke nødvendigvis en trojaner. I øjeblikket har filen ligget i mit system et par døgn, uden at der er identificeret en trojaner.

Hvis de to filer ikke optræder, finder AVG de tilsvarende trojanere i System Volume Information.

Jeg har enten ladet AVG slette filen, slettet den manuelt, eller slettet gendannelsesoplysningerne.

Jeg har gennemført alle de scanninger, der er nævnt i denne tråd - plus flere andre, som jeg tidligere er blvet rådet til af Microsoft -, uden at disse har fundet trojanere ud over dem, der allerede er blevet identificeret af AVG.

Jeg kan ikke konstatere påvirkninger i mit system.

Skal jeg eventuelt blot ignorere de opdukkende filer?

Jeg overflytter dig til rootkit kategorien, her kan du desværre ikke forvente svar indenfor 24 timer, der er ikke mange af os der kender værktøjerne, og loggene tager meget lang tid at tyde.
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29320

(1) Gå ned på bunden af denne side, og download Rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

Pak filen ud til en mappe på skrivebordet. Tag netstikket ud af computeren, og luk alle åbne vinduer. Åbn rootkitrevealer-mappen, og dobbeltklik på rootkitrevealer.exe
Klik på Options, og sørg for, at der er flueben ud for “Hide standard NTFS Metadata files”. Klik så på Scan, nederst til højre. Imens programmet scanner må du ikke bruge computeren til andre ting. Når scanningen er færdig, klik på File igen, vælg Save og gem logfilen. Kopier RootkitReveal.txt herind.

(2) Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik “iaccept”. På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

(3)Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Kære Fromsej.

Tak for at I ikke giver op. Jeg er imponeret over jeres vedholdenhed.

Jeg har fulgt dine seneste instruktioner, og log-filerne kopieret nedenfor i den rækkefølge, du anført værktøjerne.

Venlig hilsen
cardigan

RootkitReveal:

HKLM\SECURITY\Policy\Secrets\SAC* 02-01-2006 22:43 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 02-01-2006 22:43 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\system32\spool\PRINTERS\FP00004.SHD 29-11-2006 00:38 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\spool\PRINTERS\FP00004.SPL 29-11-2006 00:38 0 bytes Visible in Windows API, but not in MFT or directory index.

Blacklight:

11/29/06 01:18:17 [Info]: BlackLight Engine 1.0.47 initialized
11/29/06 01:18:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/29/06 01:18:18 [Note]: 7019 4
11/29/06 01:18:18 [Note]: 7005 0
11/29/06 01:18:50 [Note]: 7006 0
11/29/06 01:18:50 [Note]: 7011 1564
11/29/06 01:18:50 [Note]: 7026 0
11/29/06 01:18:50 [Note]: 7026 0
11/29/06 01:19:03 [Note]: FSRAW library version 1.7.1020
11/29/06 01:24:25 [Note]: 7007 0

Gmer-Rootkit:

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-11-29 01:35:40
Windows 5.1.2600 Service Pack 2

——Devices - GMER 1.0.12——

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL   [F7DB485A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL   [F7DB485A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL   [F7DB485A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DB485A] avgtdi.sys

——EOF - GMER 1.0.12——

—Prøv at hente denne (alternative) version af Combofix:
http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe

—Dobbeltklik på programmet, og følg anvisningerne. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse. Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Kære Ejvindh.

Her er log-filen fra ComboFix:

Jens Ellek‘r - 06-11-29 20:31:13,87   Service Pack 2
ComboFix 06.11.29W - Running from: “C:\Documents and Settings\Jens Ellek‘r\Skrivebord\Spywarefri”

(((((((((((((((((((((((((((((((  Files Created from 2006-10-29 to 2006-11-29 ))))))))))))))))))))))))))))))))))


2006-11-29 01:26 80—a———C:\WINDOWS\gmer_uninstall.cmd
2006-11-27 02:55 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\Application Data\TrojanHunter
2006-11-25 17:31 <DIR> d————C:\WINDOWS\Temp
2006-11-25 16:12 14,848—a———C:\WINDOWS\system32\drivers\sskbfd.sys
2006-11-23 20:28 <DIR> d—h——- C:\WINDOWS\PIF
2006-11-23 01:56 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\Local Settings
2006-11-03 13:49 <DIR> d————C:\Documents and Settings\Jens Ellek‘r\DoctorWeb

((((((((((((((((((((((((((((((((((((((((((((((((  Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-29 20:13————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\Skype
2006-11-29 19:13————d————C:\Programmer\Viking40
2006-11-29 02:59————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\AVG7
2006-11-28 03:25————d————C:\Programmer\Grisoft
2006-11-23 21:06————d————C:\Programmer\Java
2006-11-20 04:35————d————C:\Programmer\Navision Financials
2006-11-17 03:01————d————C:\Programmer\Internet Explorer
2006-11-01 22:56 816672—a———C:\WINDOWS\system32\drivers\avg7core.sys
2006-10-31 19:49————d————C:\Programmer\Google
2006-10-27 00:58 4960—a———C:\WINDOWS\system32\drivers\avgtdi.sys
2006-10-27 00:58 4224—a———C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-10-27 00:58 3968—a———C:\WINDOWS\system32\drivers\avgclean.sys
2006-10-27 00:58 28416—a———C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-10-27 00:56 44288—a———C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-10-22 02:11 0—a———C:\WINDOWS\system32\CMMGR32.EXE
2006-10-22 02:11————d————C:\Programmer\ScanWizard 5
2006-10-22 02:08————d————C:\Programmer\SUPERAntiSpyware
2006-10-22 02:08————d————C:\Documents and Settings\Jens Ellek‘r\Application Data\SUPERAntiSpyware.com
2006-10-14 23:26————d————C:\Programmer\Skype
2006-10-13 13:39 142848—a———C:\WINDOWS\system32\nwprovau.dll
2006-09-13 06:06 1084416—a———C:\WINDOWS\system32\msxml3.dll
2006-08-05 02:11 1055—a———C:\Documents and Settings\Jens Ellek‘r\Application Data\AdobeDLM.log


((((((((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\ctfmon.exe”
“MSMSGS”=”\“C:\\Programmer\\Messenger\\MSMSGS.EXE\” /background”
“PhotoShow Deluxe Media Manager”=“C:\\PROGRA~1\\SIMPLE~1\\PHOTOS~1\\data\\Xtras\\mssysmgr.exe”
“updateMgr”=”\“C:\\Programmer\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\” AcRdB0_0_0 -reboot 1”
“swg”=“C:\\Programmer\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe”
“Skype”=”\“C:\\Programmer\\Skype\\Phone\\Skype.exe\” /nosplash /minimized”
“SUPERAntiSpyware”=“C:\\Programmer\\SUPERAntiSpyware\\SUPERAntiSpyware.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
“AVG7_CC”=”\“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe\” /STARTUP”
“SunJavaUpdateSched”=”\“C:\\Programmer\\Java\\jre1.5.0_09\\bin\\jusched.exe\”“
“QuickTime Task”=”\“C:\\Programmer\\QuickTime\\qttask.exe\” -atboottime”
“TkBellExe”=”\“C:\\Programmer\\Fælles filer\\Real\\Update_OB\\realsched.exe\”  -osboot”
“Ulead AutoDetector”=”\“C:\\Programmer\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe\”“
“AdaptecDirectCD”=”\“C:\\Programmer\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\”“

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
“Installed”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
“NoChange”=“1”
“Installed”=“1”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
“Installed”=“1”

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
“DeskHtmlVersion”=dword:00000110
“DeskHtmlMinorVersion”=dword:00000005
“Settings”=dword:00000001
“GeneralFlags”=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Min aktuelle startside”
“Flags”=dword:00000002
“Position”=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
“CurrentState”=hex:04,00,00,40
“OriginalStateInfo”=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
  00,00,04,00,00,40
“RestoredStateInfo”=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\System32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
“CTFMON.EXE”=“C:\\WINDOWS\\System32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
“{438755C2-A8BA-11D1-B96B-00A0C90312E1}”=“Browseui preloader”
“{8C7461EF-2B13-11d2-BE35-3078302C2030}”=“Component Categories cache daemon”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”=”“
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”=”“

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=”“
“legalnoticetext”=”“
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
“PostBootReminder”=”{7849596a-48ea-486e-8937-a2a3009f31a9}”
“CDBurn”=”{fbeb8a05-beee-4442-804e-409d6c4515e9}”
“WebCheck”=”{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”
“SysTray”=”{35CEC8A3-2BE6-11D2-8773-92E220524153}”

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
“SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ   Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ   DnsCache\0\0
rpcss REG_MULTI_SZ   RpcSs\0\0
imgsvc REG_MULTI_SZ   StiSvc\0\0
termsvcs REG_MULTI_SZ   TermService\0\0
HTTPFilter REG_MULTI_SZ   HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ   DcomLaunch\0TermService\0\0

Completion time: 06-11-29 20:36:02.67
C:\ComboFix.txt ... 06-11-29 20:36
C:\ComboFix2.txt ... 06-11-26 14:35

Nå, det gav ikke det ønskede resultat. Jeg skal så lige høre ved dig:

(1) Hvilken form for firewall beskytter du din computer med (jeg synes ikke jeg kan få øje på nogen i dine logs…)

(2) Hvilke former for netværk har du kørende på computeren (udover almindeligt internet). Deler du nogle mapper med andre brugere over et intranet?

1) Jeg bruger Windows’ firewall. Undtagelserne under firewall er: fire avg-filer, fil- og udskriftsdeling, fjernsupport samt Skype.

2) Jeg har ikke noget netværk kørende, og jeg deler - mig bekendt - ikke mapper med andre.

Jeg har tidligere kørt et hjemmenetværk. Er det en efterladenskab herfra, at fil- og udskriftsdelingen er undtaget fra firewall?

Er der i det hele taget en risiko ved, at firewall er sat til ikke at blokere fil- og udskriftsdeling samt fjernsupport?

Ja, det vil jeg mene. Jeg synes derfor for det første du skal (eftersom du alligevel ikke bruger det) spærre for dette i firewallen. Derefter synes jeg også du skal se, om der skulle være nogle mapper som stadig er delte—som ikke er blevet sat til at være ikke-delt efter at hjemmenetværket er blevet taget ned. Prøv herefter at slette setup.exe & autorun.inf. Og check herefter om de stadig bliver ved med at dukke op.