Og derudover vil jeg også stadig gerne have dig til at gøre følgende:

—Slet CFScript, som du lavede tidligere. Kopiér herefter indholdet mellem de bølgede linier ind i et notepad-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.txt. Når du gemmer, skal du sikre, at der under “filtyper” står “alle filer”.

~~~~~~~~~~~~~~~~~~~~~~~~~~
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7F67F8DD-D049-BFA7-4E4F-8F317C66F7EE}]
~~~~~~~~~~~~~~~~~~~~~~~~~~
Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen. Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind til gennemsyn

—Lav en ny logfil med rootchk, som jeg har bedt dig om tidligere

Hej.

Her er loggen fra combofix :

ComboFix 07-08-14.4 - “Ejer” 2007-08-21 17:00:25.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1030.18.619 [GMT 2:00]
Command switches used ::  C:\Documents and Settings\Ejer\Skrivebord\Virus Ikoner\CFScript.txt
* Created a new restore point

(((((((((((((((((((((((((  Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))

2007-08-20 18:41 51,200—a———C:\WINDOWS\nircmd.exe
2007-08-19 13:03 <DIR> d————C:\WINDOWS\speech
2007-08-19 13:03 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\XemiComputers
2007-08-19 13:02 <DIR> dr———- C:\DOCUME~1\ADMINI~1.HJE\Menuen Start
2007-08-19 13:02 <DIR> d—h——- C:\DOCUME~1\ADMINI~1.HJE\Printere
2007-08-19 13:02 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\MxBoost
2007-08-19 13:02 <DIR> d————C:\DOCUME~1\ADMINI~1.HJE\Skrivebord
2007-08-19 10:27 <DIR> d————C:\DOCUME~1\Ejer\.housecall6.6
2007-08-18 23:56 15,642,624—a———C:\DOCUME~1\Ejer\ntuser.dat
2007-08-18 08:57 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\XemiComputers
2007-08-18 07:14 444,776—a———C:\WINDOWS\system32\d3dx10_35.dll
2007-08-18 07:14 443,752—a———C:\WINDOWS\system32\d3dx10_34.dll
2007-08-18 07:14 443,752—a———C:\WINDOWS\system32\d3dx10_33.dll
2007-08-18 07:14 3,727,720—a———C:\WINDOWS\system32\d3dx9_35.dll
2007-08-18 07:14 3,497,832—a———C:\WINDOWS\system32\d3dx9_34.dll
2007-08-18 07:14 267,112—a———C:\WINDOWS\system32\xactengine2_9.dll
2007-08-18 07:14 266,088—a———C:\WINDOWS\system32\xactengine2_8.dll
2007-08-18 07:14 261,480—a———C:\WINDOWS\system32\xactengine2_7.dll
2007-08-18 07:14 18,280—a———C:\WINDOWS\system32\x3daudio1_2.dll
2007-08-18 07:14 1,358,192—a———C:\WINDOWS\system32\D3DCompiler_35.dll
2007-08-18 07:14 1,124,720—a———C:\WINDOWS\system32\D3DCompiler_34.dll
2007-08-18 07:14 1,123,696—a———C:\WINDOWS\system32\D3DCompiler_33.dll
2007-08-18 07:13 3,495,784—a———C:\WINDOWS\system32\d3dx9_33.dll
2007-08-16 18:12 786,432—ah——- C:\DOCUME~1\ADMINI~1.HJE\ntuser.dat
2007-08-16 18:12 <DIR> d—h——- C:\DOCUME~1\ADMINI~1.HJE\Skabeloner
2007-08-16 18:12 <DIR> d—h——- C:\DOCUME~1\ADMINI~1.HJE\Lokale indstillinger
2007-08-15 20:21 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\AntiVir PersonalEdition Classic
2007-08-15 16:32 15,840—a———C:\WINDOWS\system32\Machnm1.exe
2007-08-13 23:11 90,568—a———C:\WINDOWS\system32\drivers\usbVM31b.sys
2007-08-13 23:11 61,440—a———C:\WINDOWS\system32\VM31bSTI.dll
2007-08-13 23:11 53,248—a———C:\WINDOWS\StillCap.exe
2007-08-13 23:11 49,152—a———C:\WINDOWS\amcap.exe
2007-08-13 23:11 40,960—a———C:\WINDOWS\VM_STI.EXE
2007-08-13 23:11 24,576—a———C:\WINDOWS\RunSetup.dll
2007-08-13 23:11 147,456—a———C:\WINDOWS\VMCap.exe
2007-08-13 22:18 1,261,568————- C:\WINDOWS\NuNinst.exe
2007-08-13 22:17 86,752————- C:\WINDOWS\system32\drivers\incdfs.sys
2007-08-13 22:17 5,264————- C:\WINDOWS\system32\drivers\incdrec.sys
2007-08-13 22:17 28,432————- C:\WINDOWS\system32\drivers\incdpass.sys
2007-08-13 22:17 <DIR> d————C:\WINDOWS\InCD
2007-08-13 06:30 127,034 -r———- C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2007-08-12 20:36 <DIR> d————C:\Programmer\Realtek AC97
2007-08-12 20:33 <DIR> d————C:\WINDOWS\EffectResources
2007-08-12 19:16 38,912—a———C:\WINDOWS\system32\drivers\AmdK8.sys
2007-08-12 16:00 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\ExtraFilm
2007-08-12 14:33 <DIR> d————C:\Programmer\Canon
2007-08-12 10:59 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\{CFAB4006-0AE0-414D-866A-DCB2C46553CF}
2007-08-08 23:17 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\VSRevoGroup
2007-08-08 18:32 <DIR> d————C:\APPS
2007-08-03 08:56 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\Logitech
2007-08-03 08:56 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\LogiShrd
2007-08-03 08:55 <DIR> d————C:\Programmer\F‘lles filer\LogiShrd
2007-08-03 08:54 56,080—a———C:\WINDOWS\KHALMNPR.Exe
2007-08-03 08:54 36,112—a———C:\WINDOWS\system32\drivers\LMouFilt.Sys
2007-08-03 08:54 34,832—a———C:\WINDOWS\system32\drivers\LHidFilt.Sys
2007-08-03 08:54 1,419,024—a———C:\WINDOWS\system32\WdfCoInstaller01005.dll
2007-08-03 08:54 <DIR> d————C:\Programmer\F‘lles filer\Logitech
2007-08-03 08:54 <DIR> d————C:\DOCUME~1\Ejer\APPLIC~1\InstallShield
2007-08-03 08:54 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Logitech
2007-08-02 11:00 118,784 -r———- C:\WINDOWS\bwUnin-7.2.0.157-8876480SL.exe
2007-08-01 16:17 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\PC Drivers Headquarters
2007-07-29 13:06 <DIR> d————C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\PhotoCare
2007-07-27 01:06 524,288—a———C:\WINDOWS\system32\DivXsm.exe
2007-07-27 01:06 144,704—a———C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-27 01:03 823,296—a———C:\WINDOWS\system32\divx_xx0c.dll
2007-07-27 01:03 823,296—a———C:\WINDOWS\system32\divx_xx07.dll
2007-07-27 01:03 802,816—a———C:\WINDOWS\system32\divx_xx11.dll
2007-07-27 01:03 740,442—a———C:\WINDOWS\system32\DivX.dll
2007-07-27 01:03 53,248—a———C:\WINDOWS\system32\dpuGUI10.dll
2007-07-27 01:03 344,064—a———C:\WINDOWS\system32\dpus11.dll
2007-07-27 01:03 294,912—a———C:\WINDOWS\system32\dpu10.dll
2007-07-27 01:03 12,288—a———C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-21 00:46 <DIR> d————C:\Programmer\Google

((((((((((((((((((((((((((((((((((((((((  Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-21 16:56————- d————C:\Programmer\Blubster
2007-08-19 13:05————- d—h——- C:\Programmer\InstallShield Installation Information
2007-08-19 11:56————- d————C:\DOCUME~1\Ejer\APPLIC~1\OpenOffice.org2
2007-08-19 09:36————- d————C:\Programmer\SUPERAntiSpyware
2007-08-18 22:13 1530—a———C:\WINDOWS\system32\tmp.reg
2007-08-18 14:16————- d————C:\DOCUME~1\Ejer\APPLIC~1\Vso
2007-08-15 20:09————- d————C:\DOCUME~1\Ejer\APPLIC~1\Skype
2007-08-13 20:39————- d————C:\Programmer\ExPLabs.com
2007-08-12 20:33————- d————C:\Programmer\Vimicro
2007-08-12 18:26————- d————C:\Programmer\AMD
2007-08-09 19:06————- d————C:\Programmer\IE7pro
2007-08-09 19:04————- d————C:\Programmer\NCH Swift Sound
2007-08-09 19:04————- d————C:\DOCUME~1\Ejer\APPLIC~1\NCH Swift Sound
2007-08-09 18:55————- d————C:\Programmer\Microsoft Picture It! 7
2007-08-03 10:18————- d————C:\Programmer\MSN Messenger
2007-08-03 08:55 0—ah——- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-08-03 08:55 0—ah——- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-08-03 08:55 0—ah——- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2007-07-27 01:06 43528————- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-07-27 01:06 3596288—a———C:\WINDOWS\system32\qt-dx331.dll
2007-07-27 01:06 200704—a———C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 129784————- C:\WINDOWS\system32\pxafs.dll
2007-07-27 01:06 120056————- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-27 01:06 118520————- C:\WINDOWS\system32\pxinsi64.exe
2007-07-27 01:06 1044480—a———C:\WINDOWS\system32\libdivx.dll
2007-07-27 01:03 81920—a———C:\WINDOWS\system32\dpl100.dll
2007-07-27 01:03 593920—a———C:\WINDOWS\system32\dpuGUI11.dll
2007-07-27 01:03 57344—a———C:\WINDOWS\system32\dpv11.dll
2007-07-27 01:03 294912—a———C:\WINDOWS\system32\dpu11.dll
2007-07-27 01:03 196608—a———C:\WINDOWS\system32\dtu100.dll
2007-07-23 19:41 190—a———C:\CONFIG.SYS
2007-07-23 19:41 132—a———C:\AUTOEXEC.BAT
2007-07-21 07:21 21808—a———C:\WINDOWS\system32\drivers\Aldebaran.sys
2007-07-21 07:21 16855—a———C:\WINDOWS\system32\drivers\Achernar.sys
2007-07-20 21:26————- d————C:\DOCUME~1\Ejer\APPLIC~1\CallingID
2007-07-20 21:15 108144—a———C:\WINDOWS\system32\CmdLineExt.dll
2007-07-19 08:58 3583488—a—c—- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-15 20:48————- d————C:\DOCUME~1\Ejer\APPLIC~1\SMSSender
2007-07-14 09:24————- d————C:\Programmer\MSECache
2007-07-13 22:12————- d————C:\Programmer\Skype
2007-07-13 17:23————- d————C:\DOCUME~1\Ejer\APPLIC~1\SummaSummarum
2007-07-13 01:31 765952—a—c—- C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-12 20:04————- d————C:\Programmer\Microsoft SMS Sender
2007-07-12 20:02————- d————C:\DOCUME~1\Ejer\APPLIC~1\Windows Desktop Search
2007-07-12 20:01————- d————C:\Programmer\Windows Desktop Search
2007-07-09 18:46 557128—a———C:\WINDOWS\system32\dao360.dll
2007-07-08 17:53————- d————C:\Programmer\MSBuild
2007-07-08 17:48————- d————C:\Programmer\Microsoft Visual Studio 8
2007-07-08 17:38————- d————C:\Programmer\Alcohol Soft
2007-07-08 17:36————- d————C:\Programmer\Microsoft Works
2007-07-06 19:42————- d————C:\DOCUME~1\Ejer\APPLIC~1\Talkback
2007-07-06 19:41————- d————C:\DOCUME~1\Ejer\APPLIC~1\Thunderbird
2007-07-06 19:07————- d————C:\DOCUME~1\Ejer\APPLIC~1\Webcam Saver
2007-06-30 16:55 21840—a———C:\WINDOWS\system32\SIntfNT.dll
2007-06-30 16:55 17212—a———C:\WINDOWS\system32\SIntf32.dll
2007-06-30 16:55 12067—a———C:\WINDOWS\system32\SIntf16.dll
2007-06-29 01:54 356352—a———C:\WINDOWS\system32\NVUNINST.EXE
2007-06-29 01:54 356352—a———C:\WINDOWS\system32\nvudisp.exe
2007-06-29 00:43 8466432—a———C:\WINDOWS\system32\nvcpl.dll
2007-06-29 00:43 81920—a———C:\WINDOWS\system32\nvwddi.dll
2007-06-29 00:43 81920—a———C:\WINDOWS\system32\nvmctray.dll
2007-06-29 00:43 753664—a———C:\WINDOWS\system32\nvcplui.exe
2007-06-29 00:43 6807328—a———C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-06-29 00:43 6729728—a———C:\WINDOWS\system32\nvoglnt.dll
2007-06-29 00:43 6234112—a———C:\WINDOWS\system32\nvdisps.dll
2007-06-29 00:43 5690624—a———C:\WINDOWS\system32\nv4_disp.dll
2007-06-29 00:43 5455872—a———C:\WINDOWS\system32\nvdispsr.dll
2007-06-29 00:43 466944—a———C:\WINDOWS\system32\nvshell.dll
2007-06-29 00:43 458752—a———C:\WINDOWS\system32\nvmccssr.dll
2007-06-29 00:43 45056—a———C:\WINDOWS\system32\nvmccsrs.dll
2007-06-29 00:43 442368—a———C:\WINDOWS\system32\nvappbar.exe
2007-06-29 00:43 425984—a———C:\WINDOWS\system32\keystone.exe
2007-06-29 00:43 37376—a———C:\WINDOWS\system32\nvcodins.dll
2007-06-29 00:43 37376—a———C:\WINDOWS\system32\nvcod.dll
2007-06-29 00:43 360448—a———C:\WINDOWS\system32\nvapi.dll
2007-06-29 00:43 3600384—a———C:\WINDOWS\system32\nvvitvsr.dll
2007-06-29 00:43 3518464—a———C:\WINDOWS\system32\nvvitvs.dll
2007-06-29 00:43 3321856—a———C:\WINDOWS\system32\nvgames.dll
2007-06-29 00:43 3072000—a———C:\WINDOWS\system32\nvgamesr.dll
2007-06-29 00:43 307200—a———C:\WINDOWS\system32\nvexpbar.dll
2007-06-29 00:43 286720—a———C:\WINDOWS\system32\nvnt4cpl.dll
2007-06-29 00:43 2854912—a———C:\WINDOWS\system32\nvmoblsr.dll
2007-06-29 00:43 2416640—a———C:\WINDOWS\system32\nvwssr.dll
2007-06-29 00:43 2330624—a———C:\WINDOWS\system32\nvwss.dll
2007-06-29 00:43 229376—a———C:\WINDOWS\system32\nvmccs.dll
2007-06-29 00:43 188416—a———C:\WINDOWS\system32\nvmccss.dll
2007-06-29 00:43 1703936—a———C:\WINDOWS\system32\nvwdmcpl.dll
2007-06-29 00:43 1626112—a———C:\WINDOWS\system32\nwiz.exe
2007-06-29 00:43 155716—a———C:\WINDOWS\system32\nvsvc32.exe
2007-06-29 00:43 1474560—a———C:\WINDOWS\system32\nview.dll
2007-06-29 00:43 147456—a———C:\WINDOWS\system32\nvcolor.exe
2007-06-29 00:43 1339392—a———C:\WINDOWS\system32\nvdspsch.exe
2007-06-29 00:43 1142784—a———C:\WINDOWS\system32\nvmobls.dll
2007-06-29 00:43 1073152—a———C:\WINDOWS\system32\nvcpluir.dll
2007-06-29 00:43 1019904—a———C:\WINDOWS\system32\nvwimg.dll
2007-06-29 00:43 1018772—a———C:\WINDOWS\system32\nvucode.bin
2007-06-27 16:05 823808—a—c—- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 16:05 671232—a—c—- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 16:05 6058496——-c—- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 16:05 52224——-c—- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

(((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“avgnt”=“C:\Programmer\AntiVir PersonalEdition Classic\avgnt.exe” [2007-04-02 10:35]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-06-29 00:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-26 18:53]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
“IETI”=C:\Programmer\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART

C:\Documents and Settings\Ejer\Menuen Start\Programmer\Start\
SpywareGuard.lnk - F:\Programmer\SpywareGuard\sgmain.exe [2003-08-29 19:05:35 name]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoSharedDocuments”=00000000
“MaxRecentDocs”=11 (0xb)
“GreyMSIAds”=1 (0x1)
“NoTrayItemsDisplay”=00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2007-01-19 17:45 77824]
“{56F9679E-7826-4C84-81F3-532071A8BCC5}”= C:\Programmer\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL 2007-06-03 10:36 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
“Notification Packages”=  :\WINDOWS\syste

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=”“

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
“LDM”=F:\Programmer\logitec\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
“SunJavaUpdateSched”=“C:\Programmer\Java\jre1.6.0_02\bin\jusched.exe”
“NvCplDaemon”=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
“Logitech Hardware Abstraction Layer”=KHALMNPR.EXE
“Kernel and Hardware Abstraction Layer”=KHALMNPR.EXE

R0 Achernar;Achernar - Storage Filter Drivers;C:\WINDOWS\system32\Drivers\Achernar.sys
R0 aliidex;aliidex;C:\WINDOWS\system32\drivers\aliidex.sys
R0 aliperf;aliperf;C:\WINDOWS\system32\drivers\aliperf.sys
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys
R1 avgio;avgio;\??\C:\Programmer\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 Aldebaran;Aldebaran - Storage Filter Drivers;\??\C:\WINDOWS\system32\Drivers\Aldebaran.sys
R3 avgntflt;avgntflt;\??\C:\Programmer\AntiVir PersonalEdition Classic\avgntflt.sys
R3 L8042mou;SetPoint PS/2 Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\L8042mou.Sys
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS
R3 ZSMC302;VIMICRO USB PC Camera;C:\WINDOWS\system32\Drivers\usbVM31b.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 Point32;Microsoft IntelliPoint Filter Driver;C:\WINDOWS\system32\DRIVERS\point32.sys
S3 SABProcEnum;SABProcEnum;\??\C:\Programmer\Internet Explorer\SABProcEnum.sys
S3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
“C:\Programmer\Fælles filer\LightScribe\LSRunOnce.exe”

Contents of the ‘Scheduled Tasks’ folder
2007-08-17 15:15:27 C:\WINDOWS\Tasks\1-Click Maintenance.job - F:\Programmer\Tune up utillities\SystemOptimizer.exe
2007-08-21 14:48:47 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Programmer\Windows Defender\MpCmdRun.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 17:04:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\aawservice]
“ImagePath”=”\“F:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe\”“

Completion time: 2007-08-21 17:05:03
C:\ComboFix-quarantined-files.txt ... 2007-08-21 17:04
C:\ComboFix2.txt ... 2007-08-20 18:55
C:\ComboFix3.txt ... 2007-08-16 20:55

—- E O F—-

Og her er loggen fra rootchk :

********************************* ROOTCHK-(15-08-07)-LOG, by ejvindh
21-aug-2007 17:11:28,06

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 17:11:28
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}]
“iabonmpkihkoiimoml”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hadnhliebpddicgk”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hafcnafopckdhmil”=hex:61,61,00,7e
“hafcnafoeglkpelo”=hex:61,61,00,7e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}]
“hakocdoiilegcaej”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..
“iaaofpnnbelcliefig”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..

scanning hidden files ...

hidden processes: 0
hidden files: 0

Efter jeg har kørt disse og åbner ie7 kommer der altid et lille vindue hvor der står at ie7 ikke er standartbrowser og om den skal være det. Jeg trykker altid ja. Men den kommer kun efter jeg har kørt disse programmer
MVH
bjarnebf

Ja, det er ikke unormalt at få den melding om IE7 som standard-browser efter at have kørt Combofix.

Men der resterer stadig noget, så prøv følgende:

—Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

—Pak Avenger-programmet ud og dobbeltklik på avenger.exe

—Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

——————————————-
registry keys to delete:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}”
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}”
——————————————-

—Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

—Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

—Lav også en ny log med rootchk, så jeg kan se om det lykkes at fjerne skidtet.

Hej.

Så har jeg prøvet men det virker ikke. Der kommer en fejlmelding hvor der står at de linier ikke er godkendte linier fra registreringsdatabasen.
Her er loggen :

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line—- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}

Syntax error in line—- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}

MVH
bjarnebf

Er du sikker på, at du har kopieret ALT hvad der står mellem de stiplede linier ind? Hvis ja, så prøv således:

—Kør Avenger igen. Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

——————————————-
registry keys to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}
——————————————-

—Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

—Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

—Lav også en ny log med rootchk, så jeg kan se om det lykkes at fjerne skidtet.

Hej.

Jeg tror ikke det virkede men her er loggen.

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line—- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}

Syntax error in line—- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\edpekkqu

*******************

Script file located at: \??\C:\WINDOWS\system32\ccbdborw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Completed script processing.

*******************

Finished!  Terminate.

Og her er loggen fra rootchk.

********************************* ROOTCHK-(15-08-07)-LOG, by ejvindh
26-aug-2007 20:34:29,91

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 20:34:30
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}]
“iabonmpkihkoiimoml”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hadnhliebpddicgk”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hafcnafopckdhmil”=hex:61,61,00,7e
“hafcnafoeglkpelo”=hex:61,61,00,7e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}]
“hakocdoiilegcaej”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..
“iaaofpnnbelcliefig”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..

scanning hidden files ...

hidden processes: 0
hidden files: 0

MVH
bjarnebf

Nå, jeg har begået en lidt pinlig fejl i de hidtidige 2 indlæg. Jeg beklager. Prøv nu at hente dette fix:

http://www.uploads.ejvindh.net/fixreg.exe

Kør værktøjet. Genstart computeren, og læg en ny log fra rootchk herind til gennemsyn.

Hej.
Her er så en ny rootchk. log :

********************************* ROOTCHK-(15-08-07)-LOG, by ejvindh
27-aug-2007 21:00:04,76

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-27 21:00:04
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}]
“iabonmpkihkoiimoml”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hadnhliebpddicgk”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hafcnafopckdhmil”=hex:61,61,00,7e
“hafcnafoeglkpelo”=hex:61,61,00,7e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}]
“hakocdoiilegcaej”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..
“iaaofpnnbelcliefig”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..

scanning hidden files ...

hidden processes: 0
hidden files: 0

MVH
bjarnebf

Det gik ikke helt så godt som håbet. Prøv at hente denne nye version af værktøjet, og gentag så anvisningen fra sidst: Kør værktøjet, genstart, og lav en ny log med Rootchk, som du lægger herind til gennemsyn:
http://www.uploads.ejvindh.net/fixreg2.exe

Hej.

Som skrevet så gjordt og efter genstart er her så en ny log.

********************************* ROOTCHK-(15-08-07)-LOG, by ejvindh
29-aug-2007 19:08:42,35

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-29 19:08:42
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}]
“iabonmpkihkoiimoml”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hadnhliebpddicgk”=hex:6b,61,63,65,6f,6e,6f,69,6d,68,62,64,69,68,69,67,6b,6e,69,69,6c,..
“hafcnafopckdhmil”=hex:61,61,00,7e
“hafcnafoeglkpelo”=hex:61,61,00,7e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}]
“hakocdoiilegcaej”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..
“iaaofpnnbelcliefig”=hex:6b,61,68,70,69,6f,69,69,6c,6d,70,69,64,6d,67,6a,6e,64,6d,62,6a,..

scanning hidden files ...

hidden processes: 0
hidden files: 0

MVH
bjarnebf

Den er godt nok stædig. Så må vi prøve at køre noget af det tunge skyts frem:

Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet. Klik derefter på fanebladet med “>>>”, klik på CMD, kopier indholdet mellem de stiplede linier ind i det øverste sorte vindue:
—————————————-
echo REGEDIT4 > c:\regfix.reg
echo. >> c:\regfix.reg
echo [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{843F18E1-10A9-64CF-9B10-E40835A06223}]>>c:\regfix.reg
echo [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B578A50A-6819-A435-2A9C-A0BBE6817010}]>>c:\regfix.reg
%windir%\regedit.exe /s c:\regfix.reg
del c:\regfix.reg
—————————————-

Klik herefter på knappen “Run Safe”. Så vil computeren lukke ned, og genstarte i Gmer’s særlige fejlsikrede tilstand, hvor man kun kan køre Gmer. Du må ikke lukke Gmer ned, imens du er derinde, idet du så mister al kontakt med computeren. Klik så på fanebladet “CMD” igen, og klik på “Run”. Når scriptet er kørt, vil der dukke en tekst op i det nederste sorte vindue. Hvis der står nogle fejlmeddelelser derinde, må du gerne meddele det.

For at komme tilbage til normal tilstand er det vigtigt at du nu klikker på fanebladet “Processes”, og derefter klikker på “Restart”. Så vil computeren genstarte normalt igen.

Når computeren er genstartet, så må du gerne lave en ny log med rootchk.

Derudover vil jeg også gerne have en logfil fra Gmer. Den laver du således: Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Imens der scannes, bør du afbryde netforbindelsen, lukke alle åbne programmer, og undlade at bruge computeren til andre ting. Du bør heller ikke klikke på andre ting i Gmer-scanneren. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Hej.

Jeg har prøvet gmer.net men der sker ikke noget når jeg trykker på run safe. Efter 15min skete der stadigvæk ikke noget så jeg slukkede den igen.

MVH
bjarnebf

Det var underligt. Jeg har lige testet vejledningen, og her virker det godt nok. Men det kan du selvfølgelig ikke bruge til så meget… Prøv så dette:

—Gå så ind i stifinderen, og find denne fil:
C:\WINDOWS\gmer_uninstall.cmd
Dobbeltklik på den for at køre den. Genstart herefter computeren.

—Når computeren er genstartet, skal du finde Gmer, som du hentede tidligere, og omdøbe programmet (fx. til at hedde abc.exe). Prøv så at køre vejledningen ovenfor igen, og se om du har bedre held med det.

—Hvis den stadig ikke vil køre, så prøv at lave en logfil-med programmet. Den laver du således: Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Imens der scannes, bør du afbryde netforbindelsen, lukke alle åbne programmer, og undlade at bruge computeren til andre ting. Du bør heller ikke klikke på andre ting i Gmer-scanneren. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Tillæg!! Prøv også lige følgende: Kopiér indholdet mellem de bølgede linier ind i et notepad-vindue, og gem indholdet på skrivebordet som getsid.vbs. Når du gemmer, skal du sikre, at der under “filtyper” står “alle filer”.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dim fso, Wshshell, Win
Set WshShell = Wscript.CreateObject(“Wscript.Shell”)
Set fso = CreateObject(“Scripting.FileSystemObject”)
Win = fso.GetSpecialFolder(0)
Set WshNetwork = WScript.CreateObject(“WScript.Network”)
Usrdom = WshNetwork.UserDomain
Usrnam = WshNetwork.UserName
strComputer = “.”
Set objWMIService = GetObject(“winmgmts:\\” & strComputer & “\root\cimv2”)
Set objAccount = objWMIService.Get(“Win32_UserAccount.Name=’” & Usrnam & “‘,Domain=’” & Usrdom & “’”)
Dim e
Set e = fso.OpenTextFile(“c:\sid.txt”, 2, True)
e.Write objAccount.SID
e.Close
Return = WshShell.Run(win & “\Notepad.exe c:\sid.txt”, 1, true)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dobbeltklik så på den fil, som du lige har lavet. Efter et kort øjeblik, vil der åbnes et Notepad-vindue med en lille streng. Den må du gerne kopiere herind.

Lukket pga manglende tilbagemelding.