Hej jlp og velkommen

Der er ikke meget i den:)

Kør en scanning med Hijackthis, så du kan se alle filer.

Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked:
O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Genstart til fejlsikret tilstand – F8

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.
Slet det med Fedt
c:/windows/system32/kbdmjl.dll

Genstart, kør også lige den her scanner:
http://www.spywareinfo.dk/download/mwav.exe
Aktiver alt i indstillinger.

Og send en ny log

Jeg har prøvet at starte op i fejlsikret tilstand, og lede efter c:/windows/system32/kbdmjl.dll , men den findes ikke.

Da jeg startede op normalt igen, og kørte hi-jack igen, var den der endnu???????[:0][?]

Har du også gjort det her:
Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.?

Hvis ikke, så gør det, og se om du kan finde filen.

Send så en ny Hijackthis log fil;)

Det har jeg gjort, men den kan jeg ikke finde[V]
Men her er min Log
Logfile of HijackThis v1.98.2
Scan saved at 15:12:09, on 21-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/Programmer/Microsoft Hardware/Mouse/point32.exe
C:/WINDOWS/system32/rundll32.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE
C:/Programmer/Microsoft Hardware/Keyboard/type32.exe
C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe
C:/WINDOWS/System32/Ati2evxx.exe
C:/WINDOWS/system32/svchost.exe
C:/Programmer/Ahead/InCD/InCDsrv.exe
C:/Programmer/Fælles filer/Microsoft Shared/VS7DEBUG/MDM.EXE
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavsrv51.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/AVENGINE.EXE
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/wuauclt.exe
C:/WINDOWS/System32/alg.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavProxy.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/Programmer/Messenger/msmsgs.exe
C:/Documents and Settings/Tommy Hammelmos/Skrivebord/hijackthis.exe

R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = localhost
O4 - HKLM/../Run: [IntelliPoint] “C:/Programmer/Microsoft Hardware/Mouse/point32.exe”
O4 - HKLM/../Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [SCANINICIO] “C:/Programmer/Panda Software/Panda Antivirus Platinum/Inicio.exe”
O4 - HKLM/../Run: [APVXDWIN] “C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE” /s
O4 - HKLM/../Run: [IntelliType] “C:/Programmer/Microsoft Hardware/Keyboard/type32.exe”
O4 - HKCU/../Run: [SpySweeper] “C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe” /0
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~3/OFFICE11/EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: http://www.portalbank.dk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093199485599
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Den er træls.

Genstart til fejlsikret tilstand, kør Hijackthis, og fix:
O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Genstart normalt, og fortæl om den er væk

[:D] nu ser det ud til den er væk;)
Så her er den nye log. den skulle være clean[:p]
Logfile of HijackThis v1.98.2
Scan saved at 19:41:18, on 21-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/Documents and Settings/Tommy Hammelmos/Skrivebord/hijackthis.exe

R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = localhost
O4 - HKLM/../Run: [IntelliPoint] “C:/Programmer/Microsoft Hardware/Mouse/point32.exe”
O4 - HKLM/../Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [SCANINICIO] “C:/Programmer/Panda Software/Panda Antivirus Platinum/Inicio.exe”
O4 - HKLM/../Run: [APVXDWIN] “C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE” /s
O4 - HKLM/../Run: [IntelliType] “C:/Programmer/Microsoft Hardware/Keyboard/type32.exe”
O4 - HKCU/../Run: [SpySweeper] “C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe” /0
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~3/OFFICE11/EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: http://www.portalbank.dk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093199485599
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Er den log fra fejlsikret tilstand?
Hvis den er, så kom lige med en fra normal tilstand.

Sorry!!
Her er en ny, det ser desværre ud til den stadig er der[:(]

Du glemte vist at sende den nye med *S*

[:I]Ups!!
Så prøver vi igen[:D]
Logfile of HijackThis v1.98.2
Scan saved at 22:22:00, on 24-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/System32/Ati2evxx.exe
C:/WINDOWS/system32/svchost.exe
C:/Programmer/Ahead/InCD/InCDsrv.exe
C:/Programmer/Fælles filer/Microsoft Shared/VS7DEBUG/MDM.EXE
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavsrv51.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/AVENGINE.EXE
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Microsoft Hardware/Mouse/point32.exe
C:/WINDOWS/system32/rundll32.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE
C:/Programmer/Microsoft Hardware/Keyboard/type32.exe
C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe
C:/WINDOWS/System32/alg.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavProxy.exe
C:/Programmer/Internet Explorer/iexplore.exe
C:/Documents and Settings/Tommy Hammelmos/Skrivebord/hijackthis.exe

R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = localhost
O4 - HKLM/../Run: [IntelliPoint] “C:/Programmer/Microsoft Hardware/Mouse/point32.exe”
O4 - HKLM/../Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [SCANINICIO] “C:/Programmer/Panda Software/Panda Antivirus Platinum/Inicio.exe”
O4 - HKLM/../Run: [APVXDWIN] “C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE” /s
O4 - HKLM/../Run: [IntelliType] “C:/Programmer/Microsoft Hardware/Keyboard/type32.exe”
O4 - HKCU/../Run: [SpySweeper] “C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe” /0
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~3/OFFICE11/EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: http://www.portalbank.dk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093199485599
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Det var da en stædig (men interessant) fil.

1. Hent dette lille værktøj fra Option^explicit:

http://download.broadbandmedic.com/DllCompare.exe

2. Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: “Completed the scan - click compare to continue”).

3. Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

4. Når den er færdig med at lede (“completed” med blå skrift), kan du klikke på “Make a Log of what was Found”. Nu spørger programmet om du vil se log’en - svar ja og kopier log’en herind i dit næste svar.

[:p]Ja det skulle være det her!!
*  DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:/WINDOWS/SYSTEM32/radclkr.dll   Sun 2 May 2004   1.26.28   A.S..      348.160   340,00 K
C:/WINDOWS/SYSTEM32/radenu.dll   Thu 25 Mar 2004 18.05.52   A.S..      61.440   60,00 K
C:/WINDOWS/SYSTEM32/radesp.dll   Thu 25 Mar 2004 18.05.52   A.S..      61.440   60,00 K
C:/WINDOWS/SYSTEM32/radfra.dll   Thu 25 Mar 2004 18.05.58   A.S..      65.536   64,00 K
C:/WINDOWS/SYSTEM32/radita.dll   Wed 21 Apr 2004 22.14.36   A.S..      61.440   60,00 K
C:/WINDOWS/SYSTEM32/radnlb.dll   Thu 25 Mar 2004 18.06.00   A.S..      61.440   60,00 K
________________________________________________

1.253 items found:  1.253 files (6 H/S), 0 directories.
Total of file sizes:  254.246.570 bytes   242,46 M

Administrator Account =  True

AppInit_DLLs value = c:/windows/system32/kbdmjl.dll (not hidden)
——————————End log——————————-

Det burde ikke være et problem. Kør HijackThis og fix denne linie:

O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Kør HijackThis igen, klik på Config i nederste højre hjørne, klik på Misc Tools og klik på knappen “Delete a file on reboot”. I vinduet, der dukker op, skal du finde c:/windows/system32/kbdmjl.dll og klikke Åben. Nu spørger HijackThis om du vil genstarte - svar ja, lad computeren genstarte.

Kør HijackThis og læg en frisk log herind.

På vegne af ham jeg sender det her,vil gerne vide om han skal slå systemgendannelse fra og evt fixe i fejlsikret tilstand.
Skriver at han har gjort som beskrevet, og det ikke ser ud til at have hjulpet.
Nu er det vist på tide han opretter sin en profil herinde[:D] så det ikke skal køre igennem mig[8D] det bliver sku for besværligt!!
Her er en ny log
Logfile of HijackThis v1.98.2
Scan saved at 19:51:00, on 25-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/Programmer/Sygate/SPF/smc.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/System32/Ati2evxx.exe
C:/WINDOWS/system32/svchost.exe
C:/Programmer/Ahead/InCD/InCDsrv.exe
C:/Programmer/Fælles filer/Microsoft Shared/VS7DEBUG/MDM.EXE
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavsrv51.exe
C:/Programmer/Microsoft Hardware/Mouse/point32.exe
C:/WINDOWS/system32/rundll32.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE
C:/Programmer/Microsoft Hardware/Keyboard/type32.exe
C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/AVENGINE.EXE
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/wuauclt.exe
C:/WINDOWS/System32/alg.exe
C:/Programmer/Panda Software/Panda Antivirus Platinum/pavProxy.exe
C:/Documents and Settings/Tommy Hammelmos/Skrivebord/hijackthis.exe

R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyOverride = localhost
O4 - HKLM/../Run: [IntelliPoint] “C:/Programmer/Microsoft Hardware/Mouse/point32.exe”
O4 - HKLM/../Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM/../Run: [SmcService] C:/PROGRA~1/Sygate/SPF/smc.exe -startgui
O4 - HKLM/../Run: [SCANINICIO] “C:/Programmer/Panda Software/Panda Antivirus Platinum/Inicio.exe”
O4 - HKLM/../Run: [APVXDWIN] “C:/Programmer/Panda Software/Panda Antivirus Platinum/APVXDWIN.EXE” /s
O4 - HKLM/../Run: [IntelliType] “C:/Programmer/Microsoft Hardware/Keyboard/type32.exe”
O4 - HKCU/../Run: [SpySweeper] “C:/Programmer/Webroot/Spy Sweeper/SpySweeper.exe” /0
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~3/OFFICE11/EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/msmsgs.exe
O15 - Trusted Zone: http://www.portalbank.dk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093199485599
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - AppInit_DLLs: c:/windows/system32/kbdmjl.dll

Højest besynderligt

1. Vi må lige have en beskrivelse af problemerne.
2. Hent, pak ud og kør dette program - læg en frisk log herind bagefter:

https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip