Hvad har du sat i karantæne?

Når BG og Spysweeper ikke finder noget så vil jeg pille de ting ud af karantænen igen og prøve dette:

Hent denne fil og pak den ud til Skrivebordet. Dobbeltklik på IEReg.bat - når den er færdig, genstart PC.
http://www.ctrlaltdel.dk/Programmer/iereg.zip

Hej Bertie

Jeg har pillet de ting ud som Spyware Doctor satte i karantæne i dag. Der var blandt andet en trojaner.generic. Det som search and destroy tidligere har fundet, har jeg desværre ikke sat i karantæne, men bedt progammet om at fjerne, så det kan jeg ikke pille ud af karantæne.

Jeg går nu tilbage til min PC og forsøger mig med IEReg.bat, som du foreslår. Jeg ved ikke om det lykkes, men det vil sikker tage lang tid. Så jeg logger af for nu, og vender tilbage.

Hej Bertie

Jeg har kørt IEReg.bat. Situationen er nu som ved starten af dagen. I ca. 15 minutter efter connect er der låst, men derefter kan jeg bruge maskinen igen.

Du skal ikke bruge Spyware Doctor eller Spybot eller andre antispyware når du har Spy Sweeper. Det gør det hele værre. Spybot er i øvrigt intet værd længere. Den finder alt det som ikke spiller nogen rolle alligevel.

Når du bruger BullGuard sammen med Spy Sweeper så har du vel lavet disse ændringer som står på vores fakturaer. Jeg citerer fra fakturaen:

Spy Sweeper version 5.5 uden antivirus

Du har købt Spy Sweeper uden antivirus, og vi går derfor ud fra, at du har et særskilt antivirusprogram. De fleste antivirus undersøger udgående og indgående e-mails, så for ikke at der skal opstå konflikt, anbefaler vi følgende

1. Åbn din Spy Sweeper og klik på Shields i menuen til venstre
2. Klik på fanebladet ”E-mail Attachments”
3. Fjern flueben ved ”E-mail Attachments”

Bruger du Kaspersky Antivirus, Kaspersky Internet Security eller BullGuard skal du yderligere:

4. Klikke på fanebladet Windows System og fjerne flueben ud for ”Keylogger” og ”File System”
5. Klikke på fanebladet Startup Programs og fjerne flueben ud for ”Startup Items” 

Vi anbefaler heller ikke, at du kører et program som SpywareBlaster i kombination med Kaspersky Antivirus, Kaspersky Internet Security og så Spy Sweeper. Er det tilfældet bør du afinstallere SpywareBlaster.

Har du ikke prøvet før køb. Det skal man altid !! ... ligegyldigt hvilket software du planlægger at købe. Det der kører perfekt hos Peter behøver ikke at gøre det hos Mads.

Hej Bertie / Perhaps

Jo, jeg bruger Spy Sweeper, som jeg har købt hos jer - uden antivirus. Jeg har nu foretaget de tilretninger i shield, som Perhaps foreslog.

Jeg bruger Bullguard som antivirus program. Bullguard har jeg også købt hos jer. Bullguard bruger jeg til både virus og spyware.

Efter ændringerne i shield, har jeg genstartet maskinen. Problemerne er desværre ikke blevet væsentligt mindre.

Et par spørgsmål:

Jeg pillede en trojan.generic ud af karantæne i Spyware Doctor. Skal der gøres noget ved den?

Min bullguard er holdt op med at vise sig i joblisten og som ikon nede ved uret. Windows sikkerhedscenter viser imidletid, at Bullguard er aktiv i forhold til både virus og spyware. Tør jeg formode, at det er som det skal være?

Godnat, jeg kikker forbi imorgen.

Det er vist på tide, vi lige ser hvad der kører på maskinen

Allerførst vil jeg foreslå at du afinstallerer Spyware Doctor, for du er godt dækket ind mht. Spyware programmer i forvejen.

Genstart.

—Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Luk alle andre vinduer ned.

“Tilslut alle dine externe harddiske/flash drev/USB stick (hvis du har nogen) før du kører combofix
Højreklik på Antivirus ikonet ved uret- og luk det ned.”

Start-> kør, skriv/kopier: ComboFix /snapshot  tryk OK

Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C: combofix txt

Indholdet af denne fil må du gerne lægge herind

Hej Magic

Jeg har gjort som du bad om. Hvordan lægger jeg logfilen ind?

Jeg har følgende bemærkninger:

1) Efter kørsel af ComboFix meldte Spy Sweeper fejl, og bad om at blive geninstalleret. (Jeg har en screenshot af meddelelsen, som jeg kan lægge ind, når jeg har lært hvordan). Derpå kørte jeg en scan, så det ser ud som om Spy Sweeper virker alligevel, Den fandt i øvrigt intet.

2) Microsoft Sikkerhedscenter ser ud til at være helt ude af trit med virkeligheden. Selv om jeg lukkede Bullguard, viser den stadig at bullguard kører som beskyttelse for både virus og spyware. Samtidig kan Sikkerhedscenter ikke se Spy Sweeper og heller ikke SuperSpyware. (Det har jeg også en screenshot af).

Jeg kan se i hjælp, at men ikke kan vedhæfte filer, så jeg sender loggen her:

ComboFix 08-07-15.4 - Benny 2008-07-17 12:30:04.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1030.18.2061 [GMT 2:00]
Running from: C:\Users\Benny\Desktop\ComboFix.exe
Command switches used :: /snapshot
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
C:\Windows\system32\MSINET.oca

——- BITS: Possible infected sites——-

hxxp://ftp.hp.com
.
(((((((((((((((((((((((((  Files Created from 2008-06-17 to 2008-07-17 )))))))))))))))))))))))))))))))
.

2008-07-16 14:55 . 2008-07-16 14:55 <DIR> d————C:\Users\Benny\AppData\Roaming\Download Manager
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Users\Benny\AppData\Roaming\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Users\All Users\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\ProgramData\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Program Files\SUPERAntiSpyware
2008-07-09 06:59 . 2008-07-09 06:59 <DIR> d————C:\Users\Benny\AppData\Roaming\Uniblue
2008-07-09 00:07 . 2008-06-26 03:45 12,240,896—a———C:\Windows\System32\NlsLexicons0007.dll
2008-07-09 00:07 . 2008-06-26 03:45 2,644,480—a———C:\Windows\System32\NlsLexicons0009.dll
2008-07-09 00:07 . 2008-06-26 05:29 801,280—a———C:\Windows\System32\NaturalLanguage6.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-17 10:29 786,432—sha-w C:\Users\Gæst\ntuser.dat
2008-07-17 10:29 786,432—sha-w C:\Users\Gæst\ntuser.dat
2008-07-17 10:24————- d——-w C:\ProgramData\BullGuard
2008-07-17 10:17————- d—-a-w C:\ProgramData\TEMP
2008-07-14 16:34————- d——-w C:\Program Files\Common Files\Wise Installation Wizard
2008-07-08 22:16————- d——-w C:\Program Files\Windows Mail
2008-07-08 22:11————- d——-w C:\ProgramData\Microsoft Help
2008-07-02 19:25————- d—h—w C:\Program Files\InstallShield Installation Information
2008-07-02 19:25————- d——-w C:\Program Files\pinnacle
2008-07-02 19:22————- d——-w C:\ProgramData\Pinnacle
2008-06-30 17:21 342——a-w C:\Users\Benny\AppData\Roaming\wklnhst.dat
2008-06-16 05:20————- d——-w C:\Users\Benny\AppData\Roaming\ICAClient
2008-06-16 04:46————- d——-w C:\Program Files\Citrix
2008-05-19 20:10————- d——-w C:\Program Files\Microsoft Silverlight
2008-05-15 21:03 262,144——a-w C:\ntuser.dat
2008-05-10 03:35 564,736——a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112——a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080——a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224——a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032——a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648——a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168——a-w C:\Windows\System32\cscript.exe
2008-04-26 08:25 3,600,952——a-w C:\Windows\System32\ntkrnlpa.exe
2008-04-26 08:25 3,549,240——a-w C:\Windows\System32\ntoskrnl.exe
2008-04-26 08:08 1,314,816——a-w C:\Windows\System32\quartz.dll
2008-04-25 04:35 826,880——a-w C:\Windows\System32\wininet.dll
2008-04-23 04:42 428,544——a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:42 293,376——a-w C:\Windows\System32\psisdecd.dll
2008-04-18 19:14 174—sha-w C:\Program Files\desktop.ini
2008-04-18 18:45 82,432——a-w C:\Windows\System32\axaltocm.dll
2008-04-18 18:45 101,888——a-w C:\Windows\System32\ifxcardm.dll
2008-03-30 18:57 22—sha-w C:\Windows\SMINST\HPCD.sys
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ehTray.exe”=“C:\Windows\ehome\ehTray.exe” [2008-01-19 09:33 125952]
“WMPNSCFG”=“C:\Program Files\Windows Media Player\WMPNSCFG.exe” [2008-01-19 09:33 202240]
“SUPERAntiSpyware”=“C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe” [2008-05-28 10:33 1506544]
“Sidebar”=“C:\Program Files\Windows Sidebar\sidebar.exe” [2008-01-19 09:33 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“hpsysdrv”=“c:\hp\support\hpsysdrv.exe” [2007-04-18 17:01 65536]
“KBD”=“C:\HP\KBD\KbdStub.EXE” [2006-12-08 18:16 65536]
“SunJavaUpdateReg”=“C:\Windows\system32\jureg.exe” [2008-02-22 05:25 54672]
“HP Software Update”=“c:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-05-08 17:24 54840]
“GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2007-08-24 08:00 33648]
“PinnacleDriverCheck”=“C:\Windows\system32\\PSDrvCheck.exe” [2004-03-11 01:26 406016]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 23:16 39792]
“OsdMaestro”=“C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe” [2007-02-15 13:59 118784]
“StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 12:17 61440]
“BullGuard”=“C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe” [2008-07-02 17:36 308552]
“SpySweeper”=“C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe” [2008-01-04 21:56 5367664]
“RtHDVCpl”=“RtHDVCpl.exe” [2008-01-15 11:26 4874240 C:\Windows\RtHDVCpl.exe]

C:\Users\Sonja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Mobile Connect.lnk - C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe [2008-03-03 01:16:45 921600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“EnableUIADesktopToggle”= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= “C:\Program Files\SUPERAntiSpyware\SASSEH.DLL” [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“vidc.i420”= vdrcodec.dll
“msacm.l3codecp”= l3codecp.acm
“VIDC.MJPG”= Pvmjpg30.dll
“VIDC.PIM1”= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1159194974-4179016457-1645135426-1000]
“EnableNotificationsRef”=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
“{645711F2-45D2-4064-A674-DBD2D8E533DC}”= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
“{E69C0106-5361-4A1E-86B7-04B7C8F88335}”= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
“{C05472B3-526F-42BB-B9FC-D29202127070}”= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{E74D6426-752C-4817-96E0-C266F7F3D800}”= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{1A5357A0-12E2-473A-BE78-26BF8AE17537}”= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{C25CDB05-92CA-4E5F-86BF-EB3DC5A7A6E6}”= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{19D8EDB1-E915-4AD7-AEDF-DBBC3FE340F1}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\RM.exe:Render Manager
“{BB35AB1E-DC32-4B56-90F6-E4F11B42F4DB}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\RM.exe:Render Manager
“{DB4B5BD0-2E0F-478E-9F9A-53FBFDC2A347}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\Studio.exe:Studio
“{AE2FEA30-FFC3-4E1D-8255-5AC121FD93C2}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\Studio.exe:Studio
“{9A2E9245-16CF-424F-951B-9BBED1160051}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\PMSRegisterFile.exe:PMSRegisterFile
“{A5C25486-394E-4DCC-B288-E1276E0AEC41}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\PMSRegisterFile.exe:PMSRegisterFile
“{3D36A9D1-F32D-4A5B-B5E8-D499F92BF75D}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\umi.exe:umi
“{11614322-D9F0-46A2-8179-ED1363F7B3FF}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\umi.exe:umi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
“EnableFirewall”= 0 (0x0)

R1 afw;BullGuard Firewall Driver;C:\Windows\system32\DRIVERS\afw.sys [2007-10-29 10:08]
R2 BdFileSpy;BullGuard File Monitor Driver;C:\Windows\system32\drivers\BdFileSpy.sys [2008-04-10 19:13]
R2 BsFileScan;BullGuard File Scan Service;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 BsFire;BullGuard Firewall Service;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2008-02-26 00:53]
R3 Reconn;BullGuard Email Monitor;C:\Program Files\BullGuard Ltd\BullGuard\Reconn.sys [2007-10-29 10:08]
R3 USB28xxBGA;PCTV 320e Device;C:\Windows\system32\DRIVERS\emBDA.sys [2007-08-07 14:39]
R3 USB28xxOEM;USB 28xx OEM Filter;C:\Windows\system32\DRIVERS\emOEM.sys [2007-08-07 14:39]
S3 ECDMVDZUNKCV;ECDMVDZUNKCV;C:\Users\Benny\AppData\Local\Temp\ECDMVDZUNKCV.exe []
S3 SA;SA;C:\Users\Benny\AppData\Local\Temp\SA.exe []
S3 SXIBIAJQ;SXIBIAJQ;C:\Users\Benny\AppData\Local\Temp\SXIBIAJQ.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ   BgMainSvc BsFileScan BsMailProxy BsFire

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\shell\AutoRun\command - L:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39a02216-e940-11dc-ad8e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39a02218-e940-11dc-ad8e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76c0cd37-f5d2-11dc-b774-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd3d646f-fa88-11dc-ae85-001e9008345d}]
\shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d0b52b-e8ad-11dc-9d9e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d0b544-e8ad-11dc-9d9e-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f965444b-f3a6-11dc-8319-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe58269b-f2cc-11dc-a500-806e6f6e6963}]
\shell\AutoRun\command - F:\AutoRun.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Uniblue RegistryBooster 2 - c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
HKLM-Run-RegistryMechanic - (no file)

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 12:33:57
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-07-17 12:35:01
ComboFix-quarantined-files.txt 2008-07-17 10:34:55
ComboFix2.txt 2008-04-12 18:22:04

Pre-Run: 284,060,798,976 byte ledig
Post-Run: 303,364,259,840 byte ledig

178—- E O F—- 2008-07-11 05:40:10

Kopiér indholdet mellem de bølgede linier ind i et notepad-vindue, og gem filen med navnet CFScript
~~~~~~~~~~~~~~~~~~~~~~~~~~

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=-

~~~~~~~~~~~~~~~~~~~~~~~~~~
Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen. - Som vist her - >>> http://www.fromsej.saknet.dk/billeder/cfscript.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Send en ny combofix log herind

Hej Magic

Det går jeg igang med. Men hvad er en ‘hijackthis log’.

Argh, beklager. Læs lige mit foregående indlæg igen, for den sidste sætning skulle ikke have været med

Hej Magic

Her er den seneste combofix.txt:

ComboFix 08-07-15.4 - Benny 2008-07-17 16:06:23.3 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1030.18.1896 [GMT 2:00]
Running from: C:\Users\Benny\Desktop\ComboFix.exe
Command switches used :: C:\Users\Benny\Documents\CFScript.txt
* Created a new restore point

FILE ::
C:\Users\Benny\AppData\Local\Temp\ECDMVDZUNKCV.exe
C:\Users\Benny\AppData\Local\Temp\SXIBIAJQ.exe
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

———-\Service_ECDMVDZUNKCV
———-\Service_SXIBIAJQ

(((((((((((((((((((((((((  Files Created from 2008-06-17 to 2008-07-17 )))))))))))))))))))))))))))))))
.

2008-07-16 14:55 . 2008-07-16 14:55 <DIR> d————C:\Users\Benny\AppData\Roaming\Download Manager
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Users\Benny\AppData\Roaming\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Users\All Users\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\ProgramData\SUPERAntiSpyware.com
2008-07-14 18:34 . 2008-07-14 18:34 <DIR> d————C:\Program Files\SUPERAntiSpyware
2008-07-09 06:59 . 2008-07-09 06:59 <DIR> d————C:\Users\Benny\AppData\Roaming\Uniblue
2008-07-09 00:07 . 2008-06-26 03:45 12,240,896—a———C:\Windows\System32\NlsLexicons0007.dll
2008-07-09 00:07 . 2008-06-26 03:45 2,644,480—a———C:\Windows\System32\NlsLexicons0009.dll
2008-07-09 00:07 . 2008-06-26 05:29 801,280—a———C:\Windows\System32\NaturalLanguage6.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-17 12:00————- d——-w C:\ProgramData\BullGuard
2008-07-17 10:17————- d—-a-w C:\ProgramData\TEMP
2008-07-14 16:34————- d——-w C:\Program Files\Common Files\Wise Installation Wizard
2008-07-08 22:16————- d——-w C:\Program Files\Windows Mail
2008-07-08 22:11————- d——-w C:\ProgramData\Microsoft Help
2008-07-02 19:25————- d—h—w C:\Program Files\InstallShield Installation Information
2008-07-02 19:25————- d——-w C:\Program Files\pinnacle
2008-07-02 19:22————- d——-w C:\ProgramData\Pinnacle
2008-06-30 17:21 342——a-w C:\Users\Benny\AppData\Roaming\wklnhst.dat
2008-06-16 05:20————- d——-w C:\Users\Benny\AppData\Roaming\ICAClient
2008-06-16 04:46————- d——-w C:\Program Files\Citrix
2008-05-19 20:10————- d——-w C:\Program Files\Microsoft Silverlight
2008-05-15 21:03 262,144——a-w C:\ntuser.dat
2008-04-18 19:14 174—sha-w C:\Program Files\desktop.ini
2008-03-30 18:57 22—sha-w C:\Windows\SMINST\HPCD.sys
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ehTray.exe”=“C:\Windows\ehome\ehTray.exe” [2008-01-19 09:33 125952]
“WMPNSCFG”=“C:\Program Files\Windows Media Player\WMPNSCFG.exe” [2008-01-19 09:33 202240]
“SUPERAntiSpyware”=“C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe” [2008-05-28 10:33 1506544]
“Sidebar”=“C:\Program Files\Windows Sidebar\sidebar.exe” [2008-01-19 09:33 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“hpsysdrv”=“c:\hp\support\hpsysdrv.exe” [2007-04-18 17:01 65536]
“KBD”=“C:\HP\KBD\KbdStub.EXE” [2006-12-08 18:16 65536]
“SunJavaUpdateReg”=“C:\Windows\system32\jureg.exe” [2008-02-22 05:25 54672]
“HP Software Update”=“c:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-05-08 17:24 54840]
“GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2007-08-24 08:00 33648]
“PinnacleDriverCheck”=“C:\Windows\system32\\PSDrvCheck.exe” [2004-03-11 01:26 406016]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 23:16 39792]
“OsdMaestro”=“C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe” [2007-02-15 13:59 118784]
“StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 12:17 61440]
“BullGuard”=“C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe” [2008-07-02 17:36 308552]
“SpySweeper”=“C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe” [2008-01-04 21:56 5367664]
“RtHDVCpl”=“RtHDVCpl.exe” [2008-01-15 11:26 4874240 C:\Windows\RtHDVCpl.exe]
“RegistryMechanic”=”” [BU]

C:\Users\Sonja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Mobile Connect.lnk - C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe [2008-03-03 01:16:45 921600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“EnableUIADesktopToggle”= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= “C:\Program Files\SUPERAntiSpyware\SASSEH.DLL” [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“vidc.i420”= vdrcodec.dll
“msacm.l3codecp”= l3codecp.acm
“VIDC.MJPG”= Pvmjpg30.dll
“VIDC.PIM1”= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1159194974-4179016457-1645135426-1000]
“EnableNotificationsRef”=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
“{645711F2-45D2-4064-A674-DBD2D8E533DC}”= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
“{E69C0106-5361-4A1E-86B7-04B7C8F88335}”= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
“{C05472B3-526F-42BB-B9FC-D29202127070}”= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{E74D6426-752C-4817-96E0-C266F7F3D800}”= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{1A5357A0-12E2-473A-BE78-26BF8AE17537}”= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{C25CDB05-92CA-4E5F-86BF-EB3DC5A7A6E6}”= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{19D8EDB1-E915-4AD7-AEDF-DBBC3FE340F1}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\RM.exe:Render Manager
“{BB35AB1E-DC32-4B56-90F6-E4F11B42F4DB}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\RM.exe:Render Manager
“{DB4B5BD0-2E0F-478E-9F9A-53FBFDC2A347}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\Studio.exe:Studio
“{AE2FEA30-FFC3-4E1D-8255-5AC121FD93C2}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\Studio.exe:Studio
“{9A2E9245-16CF-424F-951B-9BBED1160051}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\PMSRegisterFile.exe:PMSRegisterFile
“{A5C25486-394E-4DCC-B288-E1276E0AEC41}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\PMSRegisterFile.exe:PMSRegisterFile
“{3D36A9D1-F32D-4A5B-B5E8-D499F92BF75D}”= UDP:C:\Program Files\pinnacle\Studio 10\programs\umi.exe:umi
“{11614322-D9F0-46A2-8179-ED1363F7B3FF}”= TCP:C:\Program Files\pinnacle\Studio 10\programs\umi.exe:umi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
“EnableFirewall”= 0 (0x0)

R1 afw;BullGuard Firewall Driver;C:\Windows\system32\DRIVERS\afw.sys [2007-10-29 10:08]
R2 BdFileSpy;BullGuard File Monitor Driver;C:\Windows\system32\drivers\BdFileSpy.sys [2008-04-10 19:13]
R2 BsFileScan;BullGuard File Scan Service;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 BsFire;BullGuard Firewall Service;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2008-02-26 00:53]
R3 USB28xxBGA;PCTV 320e Device;C:\Windows\system32\DRIVERS\emBDA.sys [2007-08-07 14:39]
R3 USB28xxOEM;USB 28xx OEM Filter;C:\Windows\system32\DRIVERS\emOEM.sys [2007-08-07 14:39]
S3 Reconn;BullGuard Email Monitor;C:\Program Files\BullGuard Ltd\BullGuard\Reconn.sys [2007-10-29 10:08]
S3 SA;SA;C:\Users\Benny\AppData\Local\Temp\SA.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ   BgMainSvc BsFileScan BsMailProxy BsFire

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\shell\AutoRun\command - L:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39a02216-e940-11dc-ad8e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39a02218-e940-11dc-ad8e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76c0cd37-f5d2-11dc-b774-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd3d646f-fa88-11dc-ae85-001e9008345d}]
\shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d0b52b-e8ad-11dc-9d9e-001e9008345d}]
\shell\AutoRun\command - J:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1d0b544-e8ad-11dc-9d9e-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f965444b-f3a6-11dc-8319-001e9008345d}]
\shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe58269b-f2cc-11dc-a500-806e6f6e6963}]
\shell\AutoRun\command - F:\AutoRun.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 16:12:27
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
————————————Other Running Processes————————————
.
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\schtasks.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\ehome\ehsched.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\ehome\ehrecvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\hp\KBD\kbd.exe
C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
C:\Windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Completion time: 2008-07-17 16:18:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-17 14:18:34
ComboFix2.txt 2008-07-17 10:35:02
ComboFix3.txt 2008-04-12 18:22:04

Pre-Run: 314,968,477,696 byte ledig
Post-Run: 315,075,588,096 byte ledig

180—- E O F—- 2008-07-11 05:40:10

Hvordan kører tingene nu ?

Hej Magic

Der er desværre ingen mærkbar bedring.

Her til morgen begyndte markøren at blinke. Jeg kikkede i joblisten og fandt WUDFHost, som ikke plejede at være der. Jeg lukkede den, og markøren faldt til ro. Jeg læste på google, at WUDFhost kan være en virus, hvis den ikke ligger på System32. Jeg kan desværre se, at den ligger flere steder. Kan det være et hint?

Ja måske

Højreklik på de - WUDFhost - du kan finde - egenskaber, og hvis de er fra microsoft alle sammen, så kig lige her:
http://support.microsoft.com/kb/933607/da