Velkommen til Spywarefri

Hvilken programmer har du scannet med.
Du skal køre alle opdateringer ind der er på ”Windows Update”.
Men det er vigtigt at den pc ikke er infekceret når du installer de opdateringer.

Hej tak for hurtigt svar.
jeg har brugt Kaspersky og Mcafee fri scannere. og alle opdat. er fra opdate da det står på automatic og langsomheden er også kommet igennem det sidste ½ år. jeg har fjernet alt udnøvendigt men det hjælper ikke.
hans virus tjeck er “Normann” men det er vel også godt nok.? KNUD.

Lad os se hvad der kører på den pc.

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til “Kør et fuldstændigt systemscan” - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på “Vis resultater” knappen efter scanningen - og herefter tryk på “Fjern det valgte” - nu åbnes log’en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind i denne tråd.

Vigtigt: Du skal, inden du klikker på ”Skan” knappen i Malwarebytes Anti-Malware  gå op i fanen ”Opdater”, klik på ”Tjek for opdatering”, bliv ved til den skriver du har nyeste database, (DET SKAL UDFØRES).

Hent nyeste version af HijackThis ned til skrivebordet Her:
http://download.cnet.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.

3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.

4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.

5. Efter et kort øjeblik åbner en logfil i notesblok, gem den.

6. Sådan kopieres loggen ind i et spørgsmål:

Mens loggen er åben, markeres al teksten med tastekombinationen CTRL + A.
For at kopiere den markerede tekst bruges tastekombinationen CTRL + C, som ”fastgør” det i udklipsholderen i Windows. Gå så ind i dit spørgsmål og klik på kommentér knappen. Her indsættes det kopierede i det hvide felt med tastekombinationen CTRL + V.

Send så hijackThis loggen herind, sammen med en malwarebyte log.

Tak kommer, men ikke før fredag, hvis alt går vel. KNUD

Vi er her også på fredag  

Hej igen her de to ønskede logs:
Malwarebytes’ Anti-Malware 1.44
Database version: 3884
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

19-03-2010 11:30:21
mbam-log-2010-03-19 (11-30-21).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 167814
Tid tilbagelagt: 1 hour(s), 26 minute(s), 56 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 7
Inficerede Registeringsdatabase Værdier: 2
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 5
Inficerede Filer: 8

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e12bff69-38a7-406e-a8ef-2738107a7831} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e12bff69-38a7-406e-a8ef-2738107a7831} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_FOPF (Rogue.AVSystemShield) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rare (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\bootstera (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\Logs (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2006 (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
C:\Programmer\PopsMedia Site Adviser (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programmer\VirusProtectPro 3.3 (Rogue.VirusProtect) -> Quarantined and deleted successfully.

Inficerede Filer:
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\avtasks.dat (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\PGE.dat (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\Logs\av.log (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\Logs\ga6Support.log (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Application Data\AntiViruspcsuite\Logs\update.log (Rogue.AntiViruspcsuite) -> Quarantined and deleted successfully.
C:\Programmer\VirusProtectPro 3.3\vpp.ini (Rogue.VirusProtect) -> Quarantined and deleted successfully.
C:\Documents and Settings\Poul N. Christensen\Foretrukne\Online Security Test.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\stera.job (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

Ser ikke godt ud…
her fra Hijack….

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:32, on 19-03-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Ngs\Bin\Nprosec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\Bin\Zanda.exe
C:\Norman\npm\bin\nvoy.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\npf\bin\npfsvc32.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Norman\Npm\Bin\scheduler.exe
C:\Norman\Npm\Bin\Njeeves.exe
C:\Norman\nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Npm\Bin\ZLH.EXE
C:\Programmer\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Norman\Nvc\Bin\Nip.exe
C:\Programmer\Brother\Brmfcmon\BrMfcmon.exe
C:\Norman\Nvc\Bin\cclaw.exe
C:\Programmer\OpenOffice.org 3\program\soffice.exe
C:\Programmer\OpenOffice.org 3\program\soffice.bin
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmer\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmer\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Norman ZANDA] “C:\Norman\Npm\Bin\ZLH.EXE” /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] “C:\Programmer\Java\jre6\bin\jusched.exe”
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘LOKAL TJENESTE’)
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘NETVÆRKSTJENESTE’)
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programmer\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Statusmonitor.lnk = C:\Programmer\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} (ActiveX sikkerhedssoftware Control) - https://www.sparlolland.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.20.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1250539135006
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: hieroglyphist - {fde1bd72-ca80-443f-9526-595337b73878} - (no file)
O23 - Service: ASP.NET-tilstandstjeneste (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Norman\Npm\Bin\Njeeves.exe
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Personal Firewall Service (NPFSvc32) - Norman ASA - C:\Norman\npf\bin\npfsvc32.exe
O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Norman\Ngs\Bin\Nprosec.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Norman\nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\Norman\Npm\Bin\Nvcsched.exe (file missing)
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Norman\npm\bin\nvoy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Norman\Npm\Bin\scheduler.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe

—
End of file - 7574 bytes

Jeg synes nu det ser fint ud fra Malwarebytes.

Kør Hijackthis, scan, sæt flueben ved følgende, luk alle vinduer undtaget Hijackthis, klik på fix checked, når den er færdig, genstart.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O22 - SharedTaskScheduler: hieroglyphist - {fde1bd72-ca80-443f-9526-595337b73878} - (no file)

———————————————————-
Hent Combofix, og gem den i en mappe:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Åbn mappen med Combofix, højreklik et tomt sted i mappen, vælg Ny->tekstdokument, åbn tekstdokumentet, kopier følgende ind:

Killall::
Snapshot::

klik på Filer->Gem som, navngiv den CFScript, luk tekstdokumentet.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen.
http://www.fromsej.saknet.dk/billeder/swfcombo.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den fremkomne log herind.

tak tak kommer igen ved ikke lige hvad dag !! Knud

Helt i orden      

Hej mener jeg har gjort som foreskrevet.
her den ønskede log:
ComboFix 10-03-23.03 - Poul N. Christensen 24-03-2010 10:38:25.2.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.45.1030.18.223.74 [GMT 1:00]
Kører fra: c:\documents and settings\Poul N. Christensen\Skrivebord\ComboFix.exe
Kommandoer benyttet :: c:\combofix\CFScript.txt
AV: Norman Security Suite *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
FW: Norman Personal Firewall v. 1.4 *enabled* {2B6AE065-7C1B-49B0-8AB7-5BC3BA338F5C}
FW: Norman Security Suite *disabled* {83B29CE9-9DE2-2CB5-9AB3-780D70FF12B0}
* Dannede nyt systemgendannelsespunkt

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
——Forrige Kørsel———-
.
c:\windows\system32\reboot.txt

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester   )))))))))))))))))))))))))))))))))))))))))))))))))
.

———-\Legacy_FOPN
———-\Legacy_VSPF
———-\Legacy_VSPF_HK

(((((((((((((((((((((((((((((  Filer skabt fra 2010-02-24 til 2010-03-24 )))))))))))))))))))))))))))))))))))
.

2010-03-19 15:00 . 2010-02-12 10:03   293376   ———w-  c:\windows\system32\browserchoice.exe
2010-03-19 14:59 . 2008-06-14 17:35   272256   ———w-  c:\windows\system32\dllcache\bthport.sys
2010-03-19 12:53 . 2010-03-19 12:53   ————  d——-w-  c:\documents and settings\LocalService\Menuen Start
2010-03-19 12:52 . 2009-10-07 13:22   76944   ——a-w-  c:\windows\system32\drivers\tdi_rd.sys
2010-03-19 12:52 . 2009-10-07 13:20   82072   ——a-w-  c:\windows\system32\drivers\ndis_rd.sys
2010-03-19 12:52 . 2009-10-08 11:59   21832   ——a-w-  c:\windows\system32\drivers\nvcw32mf.sys
2010-03-19 12:52 . 2009-10-07 13:07   214344   ——a-w-  c:\windows\system32\nscrnsav.scr
2010-03-19 12:52 . 2010-03-19 12:52   ————  d——-w-  c:\programmer\Norman
2010-03-19 10:39 . 2010-03-19 10:39   ————  d——-w-  c:\programmer\Trend Micro
2010-03-19 08:56 . 2010-03-19 08:56   ————  d——-w-  c:\documents and settings\Poul N. Christensen\Application Data\Malwarebytes
2010-03-19 08:55 . 2010-01-07 15:07   38224   ——a-w-  c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-19 08:55 . 2010-03-19 08:55   ————  d——-w-  c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-19 08:55 . 2010-03-19 08:55   ————  d——-w-  c:\programmer\Malwarebytes’ Anti-Malware
2010-03-19 08:55 . 2010-01-07 15:07   19160   ——a-w-  c:\windows\system32\drivers\mbam.sys
2010-03-13 19:38 . 2010-03-17 09:26   1   ——a-w-  c:\documents and settings\Poul N. Christensen\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-13 19:38 . 2010-03-13 19:38   ————  d——-w-  c:\documents and settings\Poul N. Christensen\Application Data\OpenOffice.org
2010-03-13 19:32 . 2010-03-13 19:32   ————  d——-w-  c:\programmer\OpenOffice.org 3
2010-03-10 10:21 . 2009-10-23 15:28   3558912   ———w-  c:\windows\system32\dllcache\moviemk.exe
2010-03-01 10:54 . 2010-03-01 10:54   152576   ——a-w-  c:\documents and settings\Poul N. Christensen\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-03-01 10:42 . 2010-03-01 10:42   79488   ——a-w-  c:\documents and settings\Poul N. Christensen\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-18 20:13 . 2005-03-13 20:36   76712   ——a-w-  c:\documents and settings\kis\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2010-03-13 21:12 . 2004-01-23 19:44   76712   ——a-w-  c:\documents and settings\Poul N. Christensen\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2010-01-05 09:56 . 2006-06-23 12:27   832512   ———w-  c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2004-08-27 01:53   78336   ——a-w-  c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2003-04-25 11:00   17408   ———w-  c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2003-04-25 11:00   353792   ——a-w-  c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SiS Tray”=”” [BU]
“Norman ZANDA”=“c:\programmer\Norman\Npm\Bin\ZLH.EXE” [2009-10-07 189824]
“NPCTray”=“c:\programmer\Norman\npc\bin\npc_tray.exe” [2009-10-07 128328]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute   REG_MULTI_SZ     autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\\system32\\sessmgr.exe”=
“%windir%\\Network Diagnostic\\xpnetdiag.exe”=

P2 NPFSvc32;Norman Personal Firewall Service;c:\programmer\Norman\Npf\Bin\npfsvc32.exe [19-03-2010 13:52 599424]
R0 NDIS_RD;Norman Firewall NDIS driver;c:\windows\system32\drivers\ndis_rd.sys [19-03-2010 13:52 82072]
R1 NGS;Norman General Security Driver;c:\programmer\Norman\Ngs\Bin\ngs.sys [19-03-2010 13:52 25032]
R1 NPROSEC;Norman Security driver;c:\programmer\Norman\Ngs\Bin\nprosec.sys [19-03-2010 13:52 56136]
R1 TDI_RD;Norman Firewall TDI driver;c:\windows\system32\drivers\tdi_rd.sys [19-03-2010 13:52 76944]
R2 Ndiskio;Ndiskio;c:\programmer\Norman\Nse\Bin\Ndiskio.sys [19-03-2010 13:52 24168]
R2 NPROSECSVC;Norman Security service;c:\programmer\Norman\Ngs\Bin\nprosec.exe [19-03-2010 13:52 124232]
R2 NVOY;Norman Resource Provider;c:\programmer\Norman\Npm\Bin\nvoy.exe [19-03-2010 13:53 128328]
R3 NPC;Norman Parental Control;c:\programmer\Norman\Npc\Bin\npcsvc32.exe [19-03-2010 13:53 419200]
R3 nsesvc;Norman Scanner Engine Service;c:\programmer\Norman\Nse\Bin\Nsesvc.exe [19-03-2010 13:52 283976]
R3 NUAA;Norman User Activity Agent;c:\programmer\Norman\Npc\Bin\nuaa.exe [19-03-2010 13:52 124232]
R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [19-03-2010 13:52 21832]
R3 nvcoas;Norman Virus Control on-access component;c:\programmer\Norman\nvc\bin\Nvcoas.exe [19-03-2010 13:52 197960]
R3 Scheduler;Norman Scheduler Service;c:\programmer\Norman\Npm\Bin\scheduler.exe [19-03-2010 13:53 132424]

—- Andre Services/Drivers i Hukommelsen—-

*Deregistered* - mchInjDrv
.
Indhold af mappen ‘Planlagte Opgaver’

2010-03-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2010-03-24 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
.
.
———- Yderligere scanning———-
.
uStart Page = hxxp://www.google.dk/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Connection Wizard,ShellNext = iexplore
LSP: c:\programmer\Norman\npc\bin\nlf.dll
Trusted Zone: PORTALBANK.DK\WWW
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-24 10:51
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
——————————- DLLs startet under kørende Processer——————————-

- - - - - - - > ‘explorer.exe’(2592)
c:\programmer\Norman\nvc\bin\Niphk.dll
c:\windows\System32\msimtf.dll
c:\windows\System32\MSCTF.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Gennemført tid: 2010-03-24 10:57:13
ComboFix-quarantined-files.txt 2010-03-24 09:57

Pre-Kørsel: 13.821.755.392 byte ledig
Post-Kørsel: 13.788.692.480 byte ledig

- - End Of File - - 821B0F675DF385549EED8682D09DE06B

Jeg forstår godt at din pc er langsom, jeg kan se der kun er 225 MB Ram i den maskine.

Din log er ren

Tid til oprydning

Klik på START derefter Kør

Skriv/kopier: Combofix /Uninstall i boxen, og klik OK.

Bemærk mellemrum mellem X og /Uninstall, det skal være der.

Ovennævnte procedure vil:
Slette følgende:
ComboFix og tilhørende filer og mapper.
Nulstille uret indstillinger.
Skjule filtypenavne, hvis det kræves.
Skjule System / Skjulte filer, hvis det kræves.

De andre programmer vi har bedt dig om at installer må du afinstaller manuelt

Du bør oprette et nyt gendannelsespunkt for at fjerne eventuelle infektioner fra et gammelt gendannelsespunkt.
Den nemmeste og sikreste måde at gøre dette på er:

Gå til Start> Alle programmer> Tilbehør> Systemværktøjer> Systemgendannelse
Vælg Opret et gendannelsespunkt, og tryk Ok.

Næste, skal du gå til Start> Kør og skriv cleanmgr
Vælg drev c og lad den søge
Vælg Flere indstillinger, fanen
Vælg Systemgendannelse - Ryd op og tryk OK.
Dette vil fjerne alle gendannelsespunkter, undtagen det nye du lige har oprettet.

God fornøjelse  

Kan vi lukke tråden?

ok med mig sender svaret til rette vedkommende KNUD.

og tak for god behandling.  Knud.

Du er velkommen      

Vi lukker tråden. Du laver bare en ny, hvis der er noget vi kan hjælpe med.