#0 Din PC har desværre fået reddet sig en af de værste infektioner. Jeg kan godt prøve at hjælpe dig af med den, hvis du vil?! Hvis ja, så følg nedenstående forslag – eet trin af gangen! -------- Afinstaller dit Java via Kontrolpanel => Tilføj/Fjern Programmer, da det er en ældre version, du har. Af sikkerhedsmæssige årsager, skal man helst holde sine programmer fuldt opdatere. VIGTIGT! Du har ikke noget anti-virus. Jeg vil anbefale dig at downloade avast! – et rigtig godt freeware. Hent det her (dansk version finder du længere nede på siden): http://www.avast.com[...] Hent derefter den nye version Java her: http://www.java.com[...] Hent så nedenstående programmer til egne mapper – fx på Skrivebordet, men vent med at bruge dem, til jeg siger til: SmitfraudFix: http://siri.urz.free.fr[...] HijackThis (du havde brugt en gammel version) http://www.trendsecure.com[...] -------- Genstart PC i fejlsikret tilstand (tryk F8 gentagne gange ved opstart.). Kør så nedenstående programmer - i nævnte rækkefølge: SmitfraudFix (Dobbeltklik på SmitfraudFix. Tast 2 og tryk på . Lad programmet gennemføre en rensning. Fixet genstarter muligvis computeren. SmitfraudFixet laver en lille tekstfil, som du kan finde her >>> C:\rapport.txt.) HijackThis Kør så en ny scanning med HijackThis (HJT) Post loggen herind til check – sammen med loggen fra SmitfraudFixet. Du skal også lige af-/bekræfte, om du selv er Administrator på din PC. Der er nemlig lagt restriktioner ind på dem, så jeg skal lige høre, om det er nogle, du selv har valgt. //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

P.S. Sorry, glemte lige at skrive at du skal genstarte PC i normalt tilstand efter Smitfraudfixet. HJT skal nemlig køres fra normal tilstand. //*Cookie
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

Hej unskyld jeg forstyrre. Jeg ville bare lige spørge dig Cookie, om hvor du ser den Smitfraud ting henne? Øver mig lidt i at kigge i hjt logs, det kan man jo altid få brug for en gang. :)
--

#3 Hm, ved ikke, om #0 bliver glad for, at vi "misbruger" hans tråd, men han vil måske også gerne vide det, så tror godt jeg lige må svare :o) Smitfraud er som sagt en af de værste infektioner og har desværre mange grimme ansigter. Men i denne log/på denne PC er det fx denne entry, der fik alarmklokken til at ringe hos mig: O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat Men på en anden PC kan "symptomet" være et helt andet :o/ //*Cookie
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

Okay, tak for det :) Keep up the good work^^
--

#5 Tak, du også :o) Her kan du for resten se endnu en Smitfraud - dog med andre symptomer: http://www.hardwareonline.dk[...] Nåh, nu må vi se, om denne tråds ejermand vil prøve kuren?! //*Cookie
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

hey.., gør skam ik noget i låner tråden ;) har vist både version 1.4 og 1.5 af java.., og ved godt de ikke er nyest, men har ik så meget lyst til at afinstalere da, jeg skal aflevere et kæmpe projekt i java snart, så har ikke rigtig lyst til at opdatere ;) men prøver lige det du har skrevet :)
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#7 OK, mht Java. Men det med at anskaffe dig et anti-virus (fx avast! som jeg foreslog) burde altså gøres med det samme. Du har ikke fået reddet dig en af de værste infektioner uden grund. Husk også at svare på det med restriktionerne på din PC :o) //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

Det var da godt nok et skod program.., fortæller jo absolut intet :S men ser ikke ud til den er væk. men her er loggen: SmitFraudFix v2.250 Scan done at 11:32:28,09, 10-11-2007 Run from C:\Documents and Settings\Lasse\Skrivebord\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT The filesystem type is Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\bronto.dll Deleted C:\WINDOWS\system32\proper.exe Deleted C:\WINDOWS\system32\winter.exe Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] _________________________________________________ og HJT-loggen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:09:16, on 10-11-2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Intel\Wireless\Bin\EvtEng.exe C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Keyboard Manager\Manager Utility\KeyboardManager.exe C:\Programmer\Intel\Wireless\bin\ZCfgSvc.exe C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmer\Intel\Wireless\Bin\EOUWiz.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\rundll32.exe C:\Programmer\Fælles filer\Logitech\khalshared\KHALMNPR.EXE C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmer\Mozilla Firefox\firefox.exe C:\Documents and Settings\Lasse\Skrivebord\Ny mappe (5)\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - :C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Programmer\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang en /H O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmer\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programmer\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Indstillinger for Logitech-mus og -tastaturer.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5295 bytes
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

nåh.., ja, har administrationsretigheder, og har ikke lagt nogle restriktionerne ind. det er nemlig det der har undret mig, og derfor jeg har smidt loggen op. men mærkelig kan ikke finde kontrolpanel :S - hvordan er det man kommer ind i den via kør? --
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#9 Skod program?! Det er absolut et af de bedste værktøjer, der kan bruges til malwarebekæmpelse. Kan være, det ikke siger dig noget, men det er heller ikke udviklet til den gængse bruger. Den siger os (såkaldte malware-bekæmpere) en masse! Jeg kan bl.a. se, at den har skaffet dig af med kilden til problemet (dog ikke selve infektionen - endnu): »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\bronto.dll Deleted C:\WINDOWS\system32\proper.exe Deleted C:\WINDOWS\system32\winter.exe Deleted -------- Jeg skal lige høre, om du vil installere et AV. Ingen grund til at rense PCen yderligere, hvis du ikke vil, for det vil være omsonst. //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

ja skod program, det siger jo ikke når man har scannet færdigt :S. blir nok nød til at installere et eller andet, men tænkte at det var bedre først at få snavset væk?
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#12 Synes, det er lidt hårdt at kalde det et skodprogram, bare fordi det ikke siger "afslut" el.lign. Du kan da selv se, hvor effektivt det er - PLUS alle de informationer, det giver os, der kan tyde loggen! Men nevermind. Fint du vil anskaffe dig et AV. Jeg vil anbefale dig at gøre det nu, men kan også vente til du har fået renset PCen. Du skal dog i mellem tiden ikke surfe for meget rundt på nettet så. Jeg kigger lige på dine logs og vender tilbage med et rensningsforslag. //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

#13 - hehe.., du kan også være lige glad, når det ikke er dig som scanner :P :P men okay, det er jo lavet til hardcore nørder, og for dem er det nok lige meget :) Tak for hjælpen... :)
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#9 Her er mit rensningsforslag. Du har som sagt fået en af de ledeste infektioner, så der skal lige kæmpes lidt. --------------------------- Hente nedenstående programmer (til fx Skrivebordet), men vent med at bruge dem, til jeg siger til: CCleaner http://www.filehippo.com[...] SuperAntiSpyware: http://www.superantispyware.com[...] (Du bliver tilbudt et check af din PC, og registrering med email. Spring alt dret over og fortsæt installationen. Check manuelt for opdateringer og opdater programmet nu.) ComboFix http://download.bleepingcomputer.com[...] -------- Genstart PC i fejlsikret tilstand (tryk F8 gentagne gange ved opstart.). Kør så en ny scanning med HijackThis (HJT) og sæt flueben ved nedenstående, HVIS de er der: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat Luk så alle øvrige programvinduer så kun HijackThis er åben. Klik på ”Fix checked” og luk programmet. -------- Bliv i fejlsikret tilstand og kør så nedenstående programmer - i nævnte rækkefølge: CCleaner AVG AntiSpyware (som du allerede har) (Når du starter scanneren vil den opdatere automatisk. Scan og lad den fjerne, hvad den finder. Programmet laver en log. Husk at vælge "Save report", inden du klikker "Remove infections".) SuperAntiSpyware (SAS) (Klik på ”Scan your computer”, vælg drev, der skal scannes og sæt prikken i ”Perform Complete Scan”. Når scanningen er færdig, skal du lade scanneren fjerne alt det, den har fundet. Klik Next og den vil genstarte din PC. Programmet laver en log, som du kan finde her >>> "Statistics-Logs") --------------------------- Genstart så PC i normal tilstand (hvis ikke SAS har gjort det for dig.) Kør Combofix (Følg vejledningen i vinduet. VIGTIGT! Du må ikke klikke på vinduet, mens det kører, da det kan få din PC til at fryse! Når combofix er færdig og har genstartet, åbnes en logfil, som kan findes her >>> C:\combofix.txt) Og NU synes jeg altså, du skal hente avast!! --------------------------- Genstart PC. Kør så en ny scanning med HJT og post loggen herind til kontrol – sammen med logs fra AVG AS, SAS og ComboFix. Skriv også gerne et par ord om, hvordan PCen opfører sig nu. -------- (Til info: Hopper offline om lidt. Online igen sidst på aftenen eller i morgen). //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

Det var en værre omgang :P CCleaner er smart ;) Men gik lidt halvt galt synes jeg :(. havde glemt at installere SAS, så blev lige nød til at gå tilbage i normal windows mode, installere det og så tilbage igen :) men den fandt intet., så der kom heller ikke nogle log. men nu ser det da ud til at virke det hele :), kontrolpanelet er komet frem, og den siger ikke det med rettigheder mere. så det er super :D :D --------------------------------------------------------- AVG Anti-Spyware - Scan Report --------------------------------------------------------- + Created at: 13:32:43 10-11-2007 + Scan result: C:\WINDOWS\wetre.exe -> Proxy.Wopla.ag : No action taken. ::Report end ______________________________________ Sletede den fil vha. programmet ComboFix 07-11-08.1 - Lasse 2007-11-10 15:06:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1030.18.617 [GMT 1:00] Running from: C:\Documents and Settings\Lasse\Skrivebord\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\skuns.dat C:\WINDOWS\xlavba8.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_XLAVBA8 -------\nm -------\xlavba8 ((((((((((((((((((((((((( Files Created from 2007-10-10 to 2007-11-10 ))))))))))))))))))))))))))))))) . 2007-11-10 15:05 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-10 13:38 d-------- C:\Documents and Settings\Lasse\Application Data\SUPERAntiSpyware.com 2007-11-10 13:38 d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2007-11-10 13:34 C:\Programmer\Fælles filer\Wise Installation Wizard 2007-11-10 12:52 d-------- C:\Programmer\slet 2007-11-10 11:32 2,610 --a------ C:\WINDOWS\system32\tmp.reg 2007-11-10 11:26 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-10 11:26 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-10 11:26 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-10 11:26 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-10 11:26 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-06 20:24 7,530 --a------ C:\WINDOWS\porkaa.exe 2007-11-04 20:30 d--h----- C:\WINDOWS\system32\GroupPolicy . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-10 14:10 4,433,952 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-11-10 14:09 54,056 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-11-06 21:21 --------- d-----w C:\Programmer\mIRC 2007-11-06 15:17 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-10-18 13:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-10-08 10:22 18,944 ----a-w C:\Documents and Settings\Lasse\Application Data\GDIPFONTCACHEV1.DAT 2007-10-05 12:57 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2007-10-03 07:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-09-29 20:20 --------- d-----w C:\Programmer\Wolfenstein - Enemy Territory 2007-09-28 17:57 --------- d-----w C:\Documents and Settings\Lasse\Application Data\Sony 2007-09-28 17:57 --------- d-----w C:\Documents and Settings\Lasse\Application Data\Publish Providers 2007-09-28 17:52 --------- d-----w C:\Programmer\Vstplugins 2007-09-28 17:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony 2007-09-28 17:49 --------- d-----w C:\Programmer\MSBuild 2007-09-28 17:45 --------- d-----w C:\Programmer\Reference Assemblies 2007-09-28 17:38 --------- d-----w C:\Documents and Settings\Lasse\Application Data\Sony Setup 2007-09-28 14:11 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-09-06 14:14 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2007-09-06 14:14 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-18 09:16] "nwiz"="nwiz.exe" [2006-08-18 09:16 C:\WINDOWS\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-08-18 09:15 C:\WINDOWS\system32\CHDAudPropShortcut.exe] "Keyboard Manager Utility"="C:\Programmer\Keyboard Manager\Manager Utility\KeyboardManager.exe" [2006-08-18 09:16] "IntelZeroConfig"="C:\Programmer\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 11:55] "IntelWireless"="C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 11:56] "EOUApp"="C:\Programmer\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 12:00] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 C:\WINDOWS\KHALMNPR.Exe] "!AVG Anti-Spyware"="C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "ZoneAlarm Client"="C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 15:14] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-26 17:53] "SUPERAntiSpyware"="C:\Programmer\slet\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06] C:\Documents and Settings\Lasse\Menuen Start\Programmer\Start\ Indstillinger for Logitech-mus og -tastaturer.lnk - C:\Programmer\Logitech\SetPoint\SetPoint.exe [2007-03-28 17:42:18] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\slet\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programmer\slet\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\slet\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Logitech SetPoint.lnk] path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\Logitech SetPoint.lnk backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "D:\Programmer\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe R2 XilinxPC4Driver;XilinxPC4Driver;C:\WINDOWS\system32\drivers\XPC4DRVR.SYS R3 mlnxfltr;mlnxfltr;C:\WINDOWS\system32\drivers\mlnxfltr.sys R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys R3 WinDriver6;WinDriver6;C:\WINDOWS\system32\drivers\windrvr6.sys S3 FTD2XX;CPLD Board device drivers;C:\WINDOWS\system32\Drivers\FTD2XX.sys S3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys S3 MultiLINX;MultiLINX;C:\WINDOWS\system32\drivers\mltlnx.sys S3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net[...] Rootkit scan 2007-11-10 15:11:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-10 15:12:00 - machine was rebooted . --- E O F --- _______________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:28:17, on 10-11-2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Intel\Wireless\Bin\EvtEng.exe C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programmer\Keyboard Manager\Manager Utility\KeyboardManager.exe C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe C:\Programmer\Intel\Wireless\bin\ZCfgSvc.exe C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmer\Intel\Wireless\Bin\EOUWiz.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\slet\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programmer\Logitech\SetPoint\SetPoint.exe C:\Programmer\Fælles filer\Logitech\khalshared\KHALMNPR.EXE C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\notepad.exe C:\Programmer\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Lasse\Skrivebord\Ny mappe (5)\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - :C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Programmer\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang en /H O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmer\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programmer\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\slet\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Indstillinger for Logitech-mus og -tastaturer.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\slet\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5344 bytes
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#16 FEDEST, at PCen igen opfører sig som den skal! Men hvor blev avast! (eller et andet AV) af????? Jeg har nu hjulpet dig med at rense din PC, så synes altså, det er på sin plads, at du holder din del af aftalen :o) ! -------- Det er OK med SAS. De andre værktøjer har gjort det, de skulle. MEN du skal lige køre AVG AS igen. Det ser ikke ud til, at du har bedt det om at fjerne/komme det i karantæne, det finder (se #15). Hvis du for resten synes, at din opstart er blevet lidt langsommere, kan det skyldes dette program. I så fald kan du enten afsinstallere det igen efter brug, deaktivere det fra opstart eller forsinke det et par minutter i opstarten. Ja, CCleaner er også et af mine yndlingsprogrammer. Et godt program at have liggende og rense ud med engang i mellem. Husk at opdatere det online først! Læg også mærke til den feature med udbedring af problemer. Husk at lade den tage en backup af registreringsdatabasen, inden du evt. beder den udbedre problemer – just in case. -------- Vi skal lige runde rensningen helt af: Kør lige med CCleaner igen. (Derefter kan du bare afinstallere det, hvis du vil – plus de andre programmer/værktøjer, jeg bad dig bruge under rensningen. Kan jo altid hentes igen, hvis det er.) Efter en rensning er det altid en god idé at rydde op i systemgendannelsesfilerne, så du ikke får problemet igen ved en evt. systemgendannelse. Det gør du således: Deaktiver systemgendannelse (Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik OK.) Genstart PC Aktiver systemgendannelse igen (samme sted som du deaktiverede det). -------- Så er der ikke mere fra mig af - udover det med et AV i en aller-h.... fart! //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]

okay.., så er det gjort... gemte AS loggen inden jeg slettede filerne, så de er skam slettet :) Tak for hjælpen, det var super :D :D :D :D
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P

#18 Det var så lidt. Altid en fornøjelse at hjælpe brugere, der har mod på at følge rensningen helt til dørs :o) ! okay.., så er det gjort Jeg formoder, du mener, du endelig har fået dig et AV?! Det var også på tide, så GODT :D ! Pas på dig - og din PC. //*Cookie
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...]