piv siden er ganske uskadelig.. lige med undtagelse at den dræber pænt mange resourcer i en hurtig hastighed =).. få en popupkiller (googles engelske toolbar er ganske glimragende til jobbet) ... dno hvordan den kan skifte drev fra C til D .. prQv at skifte det.. måske er macAffe programmet forkert sat op og har scannet noget helt 3. ??.. og der kan NEMT være 60.000 filer på 8.4 gb...
--
100% braindead so plz, dont disturb me! http://kgp.no-ip.com[...]

Ja, den side er fyldt med ondsindet virus. I første omgang skal du køre en online virusscan på http://housecall.trendmicro.com[...] Hent så HijackThis på http://www.arlet.dk[...] og smid loggen herind til analyse, så må vi se om vi kan redde stumperne.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#1 men den har ikke ændret noget eller hvad???? startsiden er ændret til noget med mysearch......httpwww.google.dk[...] istedet for bare google.dk. er det bare mig der har noia?? men smider alligevel en hjt-log op, da der sikkert er mere galt med den com..
--
eller...

#2 går igang med det samme! skal helst redde så mange stumper som muligt!
--
eller...

#2 info: computeren kører win98 gik ind på trends side og prøvede at starte onlinescan.. den startede det op (troede jeg) men der skete intet. der var kun boxen Housecall og ingen mulighed for at lukke det vindue.. mærkeligt, der måtte være et eller andet der blokerede mente jeg, hvorefter jeg fik oversigten over kørende processer frem og lukkede to jeg ikke kendte: Licenseagp<= så ikke den præcise stavemåde og TSM<= heller ikke sikker på stavemåde. MEN lige efter jeg havde fået lukket TSM ned gik virusscanneren igang. indtil da havde computeren bare stået og idlet uden hd aktivitet.. btw, min far lagde, da min søster viste ham det, mærke til at mcafee i baggrunden bag alle pop-ups'ne, havde fanget noget, præcis hvad kunne han ikke se..
--
eller...

der glædede jeg mig for tidligt. computeren står meget længe uden at svare (men kommer dog videre), når den når til en tempfil kaldet jte.exe
--
eller...

Så spring scanningen over og gå videre til HJT. Så renser vi manuelt og kører med online scanning bagefter.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#7 lader den lige køre færdig, scanningen kører nu. poster hjt-log så hurtigt som muligt
--
eller...

har nu hentet hjt. prøvede at starte nero for at brænde filer ud. det ville den ikke, den ville ikke starte programmer eller lade mig komme ind i egneskaber for skærmen.. har lige genstartet den igen.. har nu genereret hjt-log, sætter den ind fra den anden com 2. min
--
eller...

StartupList report, 20-06-04, 17:31:03 StartupList version: 1.52 Started from : C:WINDOWSSKRIVEBORDHIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSRV32.EXE C:WINDOWSSYSTEMMPREXE.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSSYSTEMMSTASK.EXE C:WINDOWSSYSTEMONELABSVSMON.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVSYNMGR.EXE C:PROGRAMMERMESSENGER PLUS! 2MSGPLUS.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSSTAT.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSHWIN32.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVCONSOL.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANWEBSCANX.EXE C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:PROGRAMMERPOWERSTRIPPSTRIP.EXE C:PROGRAMMERFæLLES FILERREALUPDATE_OBREALSCHED.EXE C:WINDOWSLOADQM.EXE C:PROGRAMMERWINAMPWINAMPA.EXE C:PROGRAMMERD-TOOLSDAEMON.EXE C:WINDOWSSYSTEMDDHELP.EXE C:PROGRAMMERLOGITECHITOUCHITOUCH.EXE C:PROGRAMMERTWO 2 BINDLICENSEVGA.EXE C:PROGRAMMERLOGITECHDESKTOP MESSENGER8876480PROGRAMBACKWEB-8876480.EXE C:PROGRAMMERLOGITECHMOUSEWARESYSTEMEM_EXEC.EXE C:PROGRAMMERONE LABSONEALARMONEALARM.EXE C:PROGRAMMERWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE C:WINDOWSSYSTEMWMIEXE.EXE C:WINDOWSSKRIVEBORDHIJACKTHIS.EXE -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:WINDOWSMenuen StartProgrammerStart] Encoder Agent.lnk = C:ProgrammerWindows Media ComponentsEncoderWMENCAGT.EXE Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE Logitech Desktop Messenger.lnk = C:ProgrammerLogitechDesktop Messenger8876480ProgramLDMConf.exe Shell folders Common Startup: [C:WINDOWSAll UsersMenuen StartProgrammerStart] ZoneAlarm.lnk = C:Programmerone LabsoneAlarmzonealarm.exe -------------------------------------------------- Autorun entries from Registry: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Skan registreringsdatabase = C:WINDOWSscanregw.exe /autorun Job-oversigt = C:WINDOWS askmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme PowerStrip = c:programmerpowerstrippstrip.exe TkBellExe = "C:ProgrammerFælles filerRealUpdate_OB ealsched.exe" -osboot QuickTime Task = "C:WINDOWSSYSTEMQTTASK.EXE" -atboottime LoadQM = loadqm.exe NvCplDaemon = RUNDLL32.EXE C:WINDOWSSYSTEMNvCpl.dll,NvStartup nwiz = nwiz.exe /install WinampAgent = "C:PROGRAMMERWINAMPWINAMPa.exe" DAEMON Tools-1033 = "C:ProgrammerD-Toolsdaemon.exe" -lang 1033 zBrowser Launcher = C:ProgrammerLogitechiTouchiTouch.exe Logitech Utility = LOGI_MWX.EXE eachlink = C:PROGRA~1Two 2 BindLICENSEVGA.exe -------------------------------------------------- Autorun entries from Registry: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme SchedulingAgent = mstask.exe Planlægningsagent = C:WINDOWSSYSTEMmstask.exe TrueVector = C:WINDOWSSYSTEMONELABSVSMON.EXE -service McAfeeVirusScanService = C:ProgrammerNetwork AssociatesVirusScanAVSYNMGR.EXE MessengerPlus2 = "C:ProgrammerMessenger Plus! 2MsgPlus.exe" -------------------------------------------------- Autorun entries from Registry: HKCUSoftwareMicrosoftWindowsCurrentVersionRun LDM = C:ProgrammerLogitechDesktop Messenger8876480ProgramBackWeb-8876480.exe -------------------------------------------------- Shell & screensaver key from C:WINDOWSSYSTEM.INI: Shell=Explorer.exe SCRNSAVE.EXE= drivers=mmsystem.dll power.drv -------------------------------------------------- C:WINDOWSWININIT.BAK listing: (Created 21/4/2004, 21:11:20) [rename] NUL=C:WINDOWSTEMPGLB1A2B.EXE -------------------------------------------------- C:AUTOEXEC.BAT listing: mode con codepage prepare=((850) C:WINDOWSCOMMANDega.cpi) mode con codepage select=850 keyb dk,,C:WINDOWSCOMMANDkeyboard.sys SET CLASSPATH=C:PROGRA~2PHOTOD~1.0ADOBEC~1 C:PROGRA~1FÆLLES~1NETWOR~1VIRUSS~140~1.XXscan.exe C: IF ERRORLEVEL 1 PAUSE C:WINDOWSCOMMANDMSCDEX.EXE /D:MSCD000 -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:PROGRAMMERADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -------------------------------------------------- Enumerating Task Scheduler jobs: Start programmet Hastighedsoptimering.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave Flash Object] InProcServer32 = C:WINDOWSSYSTEMMACROMEDFLASHFLASH.OCX CODEBASE = http://download.macromedia.com[...] [Shockwave ActiveX Control] InProcServer32 = C:WINDOWSSYSTEMMACROMEDDIRECTORSWDIR.DLL CODEBASE = http://download.macromedia.com[...] [QuickTime Object] InProcServer32 = C:WINDOWSSYSTEMQTPLUGIN.OCX CODEBASE = http://www.apple.com[...] [Update Class] InProcServer32 = C:WINDOWSSYSTEMIUCTL.DLL CODEBASE = http://v4.windowsupdate.microsoft.com[...] [Symantec RuFSI Registry Information Class] InProcServer32 = C:WINDOWSDOWNLOADED PROGRAM FILESRUFSI.DLL CODEBASE = http://security.symantec.com[...] [SpeedTest Control] InProcServer32 = C:WINDOWSDOWNLO~1SPEEDT~1.OCX CODEBASE = http://213.150.57.68[...] [Measurement Service Client] InProcServer32 = C:WINDOWSDOWNLO~1MSC.OCX CODEBASE = http://ccon.madonion.com[...] [Cult3D ActiveX Player] InProcServer32 = C:WINDOWSSYSTEMCULT3DIECULT.DLL CODEBASE = http://www.cult3d.com[...] [MessengerStatsClient Class] InProcServer32 = C:WINDOWSDOWNLOADED PROGRAM FILESMESSENGERSTATSCLIENT.DLL CODEBASE = http://messenger.zone.msn.com[...] [Solitaire Showdown Class] InProcServer32 = C:WINDOWSDOWNLOADED PROGRAM FILESSOLITAIRESHOWDOWN.DLL CODEBASE = http://messenger.zone.msn.com[...] [HouseCall Control] InProcServer32 = C:WINDOWSDOWNLO~1XSCAN53.OCX CODEBASE = http://a840.g.akamai.net[...] -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:WINDOWSSYSTEMWEBCHECK.DLL -------------------------------------------------- End of report, 7.560 bytes Report generated in 0,732 seconds
--
eller...

Kan du ikke lave en normal log?
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

normal log?? er det bare ved at trykke scan?? prøver lige..
--
eller...

Når du har kørt "Scan" bliver samme knap til "Save log" - denne skal du bruge. Loggen gemmes som hijackthis.log og kan åbnes i Notesblok. Kopier al teksten og sæt den ind i et indlæg. -- /Armageddon - [email protected] http://www.mdegn.dk[...]
--

Sidst redigeret

Dette var hvad den spyttede ud til mig: Logfile of HijackThis v1.97.7 Scan saved at 17:55:11, on 20-06-04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSRV32.EXE C:WINDOWSSYSTEMMPREXE.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSSYSTEMMSTASK.EXE C:WINDOWSSYSTEMONELABSVSMON.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVSYNMGR.EXE C:PROGRAMMERMESSENGER PLUS! 2MSGPLUS.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSSTAT.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSHWIN32.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVCONSOL.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANWEBSCANX.EXE C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:PROGRAMMERPOWERSTRIPPSTRIP.EXE C:PROGRAMMERFæLLES FILERREALUPDATE_OBREALSCHED.EXE C:WINDOWSLOADQM.EXE C:PROGRAMMERWINAMPWINAMPA.EXE C:PROGRAMMERD-TOOLSDAEMON.EXE C:WINDOWSSYSTEMDDHELP.EXE C:PROGRAMMERLOGITECHITOUCHITOUCH.EXE C:PROGRAMMERTWO 2 BINDLICENSEVGA.EXE C:PROGRAMMERLOGITECHDESKTOP MESSENGER8876480PROGRAMBACKWEB-8876480.EXE C:PROGRAMMERLOGITECHMOUSEWARESYSTEMEM_EXEC.EXE C:PROGRAMMERONE LABSONEALARMONEALARM.EXE C:PROGRAMMERWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE C:WINDOWSSYSTEMWMIEXE.EXE C:WINDOWSSYSTEMPSTORES.EXE C:PROGRAMMERFæLLES FILERREALUPDATE_OBREALEVENT.EXE C:WINDOWSSKRIVEBORDHIJACKTHIS.EXE R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks O1 - Hosts: 216.40.230.4 desktop.kazaa.com O1 - Hosts: 216.40.230.4 alpha.kazaa.com O1 - Hosts: 216.40.230.4 shop.kazaa.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAMMERADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX O4 - HKLM..Run: [Skan registreringsdatabase] C:WINDOWSscanregw.exe /autorun O4 - HKLM..Run: [Job-oversigt] C:WINDOWS askmon.exe O4 - HKLM..Run: [SystemTray] SysTray.Exe O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM..Run: [PowerStrip] c:programmerpowerstrippstrip.exe O4 - HKLM..Run: [TkBellExe] "C:ProgrammerFælles filerRealUpdate_OB ealsched.exe" -osboot O4 - HKLM..Run: [QuickTime Task] "C:WINDOWSSYSTEMQTTASK.EXE" -atboottime O4 - HKLM..Run: [LoadQM] loadqm.exe O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSYSTEMNvCpl.dll,NvStartup O4 - HKLM..Run: [nwiz] nwiz.exe /install O4 - HKLM..Run: [WinampAgent] "C:PROGRAMMERWINAMPWINAMPa.exe" O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammerD-Toolsdaemon.exe" -lang 1033 O4 - HKLM..Run: [zBrowser Launcher] C:ProgrammerLogitechiTouchiTouch.exe O4 - HKLM..Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM..Run: [eachlink] C:PROGRA~1Two 2 BindLICENSEVGA.exe O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe O4 - HKLM..RunServices: [Planlægningsagent] C:WINDOWSSYSTEMmstask.exe O4 - HKLM..RunServices: [TrueVector] C:WINDOWSSYSTEMONELABSVSMON.EXE -service O4 - HKLM..RunServices: [McAfeeVirusScanService] C:ProgrammerNetwork AssociatesVirusScanAVSYNMGR.EXE O4 - HKLM..RunServices: [MessengerPlus2] "C:ProgrammerMessenger Plus! 2MsgPlus.exe" O4 - HKCU..Run: [LDM] C:ProgrammerLogitechDesktop Messenger8876480ProgramBackWeb-8876480.exe O4 - Startup: Encoder Agent.lnk = C:ProgrammerWindows Media ComponentsEncoderWMENCAGT.EXE O4 - Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:ProgrammerLogitechDesktop Messenger8876480ProgramLDMConf.exe O4 - Global Startup: ZoneAlarm.lnk = C:Programmerone LabsoneAlarmzonealarm.exe O12 - Plugin for .spop: C:PROGRA~1INTERN~1PluginsNPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com[...] O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com[...] O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com[...] O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com[...] O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com[...] O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://213.150.57.68[...] O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com[...] O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com[...] O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com[...] O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com[...] O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net[...]
--
eller...

nu har jeg været inde og kigge på filer der er blevet ændret den dag hvor "virussen"?? kom ind dvs fredag d 18. her er der blevet ændret en masse filer i internet explorers favourites mappe samt en mappe der hedder two 2 bind med filen licensevga.exe
--
eller...

og sjovt nok er de samme filer også blevet oprettet samme dag. så det må vel også være noget med at min startside er blevet ændret. Om den er ændret har jeg ikke fundet ud af, da jeg ikke har åbnet internet explorer via linket på skrivebordet, men gennem Denne Computer..
--
eller...

Kør en ny scanning med HJT og sæt flueben ved disse: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost O1 - Hosts: 216.40.230.4 desktop.kazaa.com O1 - Hosts: 216.40.230.4 alpha.kazaa.com O1 - Hosts: 216.40.230.4 shop.kazaa.com O4 - HKLM..Run: [Skan registreringsdatabase] C:WINDOWSscanregw.exe /autorun O4 - HKLM..Run: [TkBellExe] "C:ProgrammerFælles filerRealUpdate_OB ealsched.exe" -osboot O4 - HKLM..Run: [QuickTime Task] "C:WINDOWSSYSTEMQTTASK.EXE" -atboottime O4 - HKLM..Run: [eachlink] C:PROGRA~1Two 2 BindLICENSEVGA.exe O4 - HKCU..Run: [LDM] C:ProgrammerLogitechDesktop Messenger8876480ProgramBackWeb-8876480.exe O4 - Startup: Microsoft Office.lnk = C:ProgrammerMicrosoft OfficeOfficeOSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:ProgrammerLogitechDesktop Messenger8876480ProgramLDMConf.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com[...] Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”. Luk programmet og genstart i fejlsikret tilstand (tryk F8 efter POST skærmen). Find og slet denne: C\:PROGRA~1\Two 2 Bind\LICENSEVGA.exe Genstart normalt. Kør en ny scanning med HJT og smid loggen herind til kontrol.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

Hej, der er lige noget der skal fikses... Start med at deaktivere systemgendannelsen, kør en ny hijackthis og sæt flueben ud for: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mysearchnow.com[...] R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com[...] R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com[...] R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com[...] O1 - Hosts: 216.40.230.4 desktop.kazaa.com O1 - Hosts: 216.40.230.4 alpha.kazaa.com O1 - Hosts: 216.40.230.4 shop.kazaa.com O4 - HKLM..Run: [TkBellExe] "C:ProgrammerFælles filerRealUpdate_OB ealsched.exe" -osboot O4 - HKLM..Run: [QuickTime Task] "C:WINDOWSSYSTEMQTTASK.EXE" -atboottime O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com[...] O4 - HKCU..Run: [LDM] C:ProgrammerLogitechDesktop Messenger8876480ProgramBackWeb-8876480.exe Smid en Log herind igen til kontrol... //Kim In Chul
--

#17 det prøver jeg #18 systemgendannelse i win98??
--
eller...

#19 my bad, kiggede den ikke ordentligt igennem... Sry for det...
--

# 19 kan ske for enhver, hehe #17 og #18 er gjort, hjt lavede backup filer på skrivebordet, skulle den det?? har den slukket lige nu..
--
eller...

Ja, HJT laver backup. Dem kan du slette når alt er som det skal være.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#21 Hijackthis skal ligges i en seperat mappe, og derefter skal du så rense ud... Det er dog lidt forsent, men bare smid alle de "backups" samt Hijackthis ned i en mappe du kalder "hijackthis" så er den fin fin... Og jaerh, Den skal lave backups, i tilfælde at du kommer til at slette noget som du ikke skulle ha slettet...
--

her er hjt-loggen efter sletning af licensevga: Running processes: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSRV32.EXE C:WINDOWSSYSTEMMPREXE.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSSYSTEMMSTASK.EXE C:WINDOWSSYSTEMONELABSVSMON.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVSYNMGR.EXE C:PROGRAMMERMESSENGER PLUS! 2MSGPLUS.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSSTAT.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANVSHWIN32.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANAVCONSOL.EXE C:PROGRAMMERNETWORK ASSOCIATESVIRUSSCANWEBSCANX.EXE C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:PROGRAMMERPOWERSTRIPPSTRIP.EXE C:WINDOWSLOADQM.EXE C:PROGRAMMERWINAMPWINAMPA.EXE C:PROGRAMMERD-TOOLSDAEMON.EXE C:WINDOWSSYSTEMDDHELP.EXE C:PROGRAMMERLOGITECHITOUCHITOUCH.EXE C:PROGRAMMERONE LABSONEALARMONEALARM.EXE C:PROGRAMMERWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE C:PROGRAMMERLOGITECHMOUSEWARESYSTEMEM_EXEC.EXE C:WINDOWSSYSTEMWMIEXE.EXE C:WINDOWSSKRIVEBORDHIJACKTHIS.EXE R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.dk[...] R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAMMERADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX O4 - HKLM..Run: [Job-oversigt] C:WINDOWS askmon.exe O4 - HKLM..Run: [SystemTray] SysTray.Exe O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM..Run: [PowerStrip] c:programmerpowerstrippstrip.exe O4 - HKLM..Run: [LoadQM] loadqm.exe O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSYSTEMNvCpl.dll,NvStartup O4 - HKLM..Run: [nwiz] nwiz.exe /install O4 - HKLM..Run: [WinampAgent] "C:PROGRAMMERWINAMPWINAMPa.exe" O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammerD-Toolsdaemon.exe" -lang 1033 O4 - HKLM..Run: [zBrowser Launcher] C:ProgrammerLogitechiTouchiTouch.exe O4 - HKLM..Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe O4 - HKLM..RunServices: [Planlægningsagent] C:WINDOWSSYSTEMmstask.exe O4 - HKLM..RunServices: [TrueVector] C:WINDOWSSYSTEMONELABSVSMON.EXE -service O4 - HKLM..RunServices: [McAfeeVirusScanService] C:ProgrammerNetwork AssociatesVirusScanAVSYNMGR.EXE O4 - HKLM..RunServices: [MessengerPlus2] "C:ProgrammerMessenger Plus! 2MsgPlus.exe" O4 - Startup: Encoder Agent.lnk = C:ProgrammerWindows Media ComponentsEncoderWMENCAGT.EXE O4 - Global Startup: ZoneAlarm.lnk = C:Programmerone LabsoneAlarmzonealarm.exe O12 - Plugin for .spop: C:PROGRA~1INTERN~1PluginsNPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com[...] O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com[...] O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com[...] O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com[...] O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com[...] O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://213.150.57.68[...] O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com[...] O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com[...] O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com[...] O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net[...] har desuden sat startsiden for internet explorer tilbage til http://www.google.dk[...] og alle de links der blev oprettet i favourites, dem kan jeg vel også bare slette??
--
eller...

Nu ligner det jo en normal log igen. Kør dog lige den online virusscanner igen for en sikkerheds skyld. Ja, du kan bare slette alle links i favourites. Tag lige en fornuftig snak med søster og forklar hende stille og roligt hvad det er hun har gjort, og at det var tæt på at gå galt. Det skal gerne ende med at hun får en forståelse af at hun ikke bare går på alle mulige sider som andre siger til hende.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

For at hjælpe lidt på sikkerheden kan du installere SpywareBlaster og Spybot S&D - fra den sidste skal du aktivere Immunisering. http://www.javacoolsoftware.com[...] http://www.safer-networking.org[...]
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#25 det fik både jeg selv og min far fortalt hende, og hun har forstået det! Hun er meget fornuftig (bogorm), men lidt naiv en gang imellem.. Men det er ikke lige det sjoveste at komme hjem kl 10 om formiddagen fra studenterfest uden at have sovet, og så få sådan noget at vide. Men tak for hjælpen !! det var godt at den ikke var lige så ond som den jeg havde for nylig...
--
eller...

#26 har allerede hentet det..
--
eller...