---

Jeg er dødtræt af det l...

I forrige uge fik jeg en adware ind, hvis eneste formål var at poppe op - for at fortælle, at man kunne købe et program, der i realiteten kunne fjerne den - det må vist kaldes agressiv markedsføring.

Den fik jeg væk, men jeg har stadig en problem.

Hvis PC'en står stille lidt, kommer min antivir pludselig med en advarsel:

C:\WINDOWS\SYSTEM32\MSOLE32.EXE
Is the Trojan horse TR/Fcoa

Jeg er ikke sikker på, det er samme fil hver gang, der henvises til - men jeg tror det. Tilsyneladende er der enten tidsforsinkelse på - eller den trickes med pauseskærm.

Jeg har kørt antivirus (som også ligger "i baggrunden"), jeg har kørt 2 forskellige adware-programmer - men tilsyneladende overlever den alligevel.

Er der nogen, der har en god (helst gratis - jeg kan ikke rigtigt acceptere, man skal købe sig fattig i den slags ting) "sprøjte" mod den virus?

---

Du kunne prøve at kikke ind til www.arlet.dk

---

http://spywarefri.dk/onlinevark.htm og denne her og så muligvis www.virusfri.nu

---

jeg har prøvet det samme, men det var bare alt muligt lort der kom, og man kaan ikke få det væk igen. arlet var til stor hjælp, men der var sket så stor skade, at jeg måtte formatere min pc. men kan kun anbefale arlet, han ved noget om det

---

Der findes malware (= ondskabsfuld Ad-/spyware) der laver dette nummer. Scan din computer med X-Block on_line hos :

http://spywarefri.dk/onlinevark.htm

Du kan med fordel bagefter hente og installere Spywareblaster herfra : http://spywarefri.dk/vaerktoj.htm
..så får du ikke så let 'skidtet' igen

Her er en manual : http://www.spywarefri.dk/manualer/spywareblaster-manual.htm

Spybot S&D fra samme side er et godt værktøj til at kunne scanne sin computer uden at skulle være på nettet

vh starguy

---

Sikke en masse problemer I har med virus, når I bruger en PC med windows!!!!!!!!!!
det kender vi andre mac brugere ikke til.


Med venlig hilsen
hawaii7

---

hawaii7.... bare træd i det ;-((

---

Næh - udbredelsen er jo så lille, at ingen rigtig gider at lave virus til MAC - det vil jo ikke rigtigt have en effekt

Har ikke glemt jer - skal nok lige få kørt nogle af de foreslåede programmer, men har brugt det gode vejr til at fise rundt og lege med mit nye kamera i stedet for at sidde ved PC'en... men: Så vidt jeg kan se, er en stor del af de programmer, som der henvises til, rene scannere - er der nogle af gratisprogrammerne, I har foreslået, som rent faktisk også kan rydde op undervejs?

Mvh Erling

---

Du har en "smitfraud" spyware. Den kræver særbehandling. Hent HijackThis her http://www.greyknight17.com/spy/HijackThis.exe Opret en mappe på skrivebordet, og kald den hijackthis. Læg HijackThis i mappen. Dobbeltklik HijackThis, og klik " Do a system scan, and save a logfile". Notesblok åbner med en log. Kopier loggen her ind i tråden, så ser jeg på den.

---

Helt suverænt, stl - men gider du også lige forklare, hvad du gør /ser efter, finder osv)?

Logfile of HijackThis v1.99.0
Scan saved at 23:32:35, on 12-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\VeriSign\NAVI\naviagent.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Plaxo\2.3.4.5\InstallStub.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\3com\Connection Assistant\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\system32\msiexec.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\downloads\virusscan antivir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programmer\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programmer\Plaxo\2.3.4.5\InstallStub.exe -a
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: 3Com Connection Assistant.lnk = C:\Program Files\3com\Connection Assistant\bin\matcli.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-søgning - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://C:\Programmer\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://C:\Programmer\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://C:\Programmer\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:\AdgangForAlle\adgangforalle.exe
O9 - Extra 'Tools' menuitem: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:\AdgangForAlle\adgangforalle.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Hjælp - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: i-Nav Indstillinger - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101082677796
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programmer\Autodesk\Inventor Professional 8\bin\HSPCLPRO10.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmer\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programmer\VeriSign\NAVI\naviagent.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe

---

Jeg tror at dit rigtigt udmærkede antivirus, har beskyttet dig imod en større "infektion" af din maskine. Jeg vil forslå at du kører denne procedure, som er lavet specielt til at fjerne Smitfraud, og evt. rester af den.

1. Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.

2. Hent Ad-Aware, hvis du ikke har den i forvejen.

http://spywarefri.dk/vaerktoj.htm#ad-aware

Installer programmet, start det og opdater online, du skal IKKE scanne endnu.
Indstil Ad-Aware efter denne vejledning:
http://www.spywarefri.dk/manualer/adaware-manual.htm
Luk Ad-Aware igen.

3. Genstart i fejlsikret (tast f8 flere gange under opstart)

4. Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank


5. Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

6. Kør en fuld scanning med Ad-Aware, fjern alt det finder.

7. Genstart almindeligt, kør denne onlinescanner:

PANDA http://www.pandasoftware.com/products/activescan.htm (sæt den til Automatic removal).

8. Genstart og kom med en frisk Hijackthislog. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.

---

Prøver det i løbet af ugen og skal nok lige huske at vende tilbage

---

Det er helt okay :)

---

Hvordan går det ? Er skidtet væk ? Hvis du lægger en log ind, så tjekker den lige.

---

Nåh, længere historie.

Gjorde som beskrevet i første omgang. Gav lidt problemer idet noget af min opsætning forsvandt (skrivebordet), og min explorer begyndte simpelthen at stoppe ind imellem. Jeg ville derfor lægge explorer ind igen, men kunne ikke får lov, da jeg har lagt servicepack 2 på. Jeg lavede derfor en systemgengannelse fra før servicepack 2, opdaterede, og lagde servicepack 2 på igen.

Det betød, at computeren kom tilbage på vanligt niveau. C:\WINDOWS\SYSTEM32\MSOLE32.EXE var tilsyneladende væk, men i stedet dukker :

C:\SYSTEM VOLUME INFORMATION\_RESTORE{4166B095-2C17-468D-A6F5-182248AC2137}\RP267\A0069929.EXE
Is the Trojan horse TR

op i stedet. På samme tidspunkt som den anden (altså når PC'en har stået urørt 5 min eller lignende).

Jeg tog derfor chancen og kørte den beskrevne proces en gang til:

smitrem kørte (både første og anden gang) igennem med en enorm masse beskeder, som man ikke kan nå at se - men mange af dem var "file not found" - er det normalt?

Logfile fra smitrem:

smitRem log file
version 2.7
by noahdfear
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!

checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
logfiles
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN! :)

Kørte Hijackthis - og linien R1 var der endnu - den er nu fjernet

Adware siger "ren".

Det gør Panda til gengæld ikke. I modsætning til Antivir siger den, at der er problemer i:

Incident Status Location

Adware:adware/searchrelevancy No disinfected Windows Registry
Dialer:Dialer.VV No disinfected C:\Documents and Settings\adm\Lokale indstillinger\Temporary Internet Files\Content.IE5\LV0RMHVD\ff_sexo52[1].exe
Adware:Adware/WUpd No disinfected C:\RECYCLER\S-1-5-21-329068152-606747145-682003330-1004\Dc1\AdManComm.dll
Adware:Adware/WinAD No disinfected C:\RECYCLER\S-1-5-21-329068152-606747145-682003330-500\Dc1.dll
Adware:Adware/WinAD No disinfected C:\RECYCLER\S-1-5-21-329068152-606747145-682003330-500\Dc2.exe
Adware:Adware/WinAD No disinfected C:\RECYCLER\S-1-5-21-329068152-606747145-682003330-500\Dc3.exe
Det undrer mig lidt, for jeg kan ikke fysisk finde hverken direktoratet LV0RMHVD under Content.IE5 - eller for den sags skyld et direktorat, der hedder "Recycler".

Nogen ide om, hvad det kan skyldes?

Nyeste log fra hijack hedder:

Logfile of HijackThis v1.99.0
Scan saved at 07:58:55, on 27-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMER\AVPERSONAL\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Plaxo\2.4.1.5\InstallStub.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\3com\Connection Assistant\bin\mpbtn.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\downloads\virusscan antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programmer\Plaxo\2.4.1.5\InstallStub.exe -a
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: 3Com Connection Assistant.lnk = C:\Program Files\3com\Connection Assistant\bin\matcli.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-søgning - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://C:\Programmer\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://C:\Programmer\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://C:\Programmer\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {1221EA33-878F-4672-B799-05DAAF1298CF} (sysinfo1 Class) - http://resources.tele2.dk/privat/internet/pctest/systeminfo1.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101082677796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129247719046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programmer\Autodesk\Inventor Professional 8\bin\HSPCLPRO10.dll
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMMER\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Der hvor jeg står nu er, at boksen med hhv. MSOLE32.EXE og C:\SYSTEM VOLUME INFORMATION\_RESTORE{4166B095-2C17-468D-A6F5-182248AC2137}\RP267\A0069929.EXE / Is the Trojan horse TR tilsyneladende er væk.

Men igen er hele min baggrund i windows væk, og jeg føler også at åbning og kørsel af Internet i Explorer er noget langsommere end normalt.

Hvad siger du - ser det tosset ud, eller hvad?

Smider lige 300 point oveni for hjælp til "det sidste"

---

Damned:

Har stadig:


C:\SYSTEM VOLUME INFORMATION\_RESTORE{4166B095-2C17-468D-A6F5-182248AC2137}\RP267\A0069930.EXE

Is the Trojan horse TR/Favadd.aj.2

---

C:\SYSTEM VOLUME INFORMATION\_RESTORE Er ikke noget problem. Det er din systemgendannelse, som vi sletter når maskinen er helt ren.

"file not found" Er helt normalt. Fixet fjerner flere varianter af infektionen, så der er filer den ikke finder.

C:\Documents and Settings\adm\Lokale indstillinger\Temporary Internet Files\Content.IE5 Er dine midlertidige internetfiler. Dem sletter vi senere.

C:\RECYCLER Er den mappe dine slettede filer fra papirkurven ligger i. Det er en skjult fil, så nok derfor du ikke kunne finde den.

Der er lige et par rester i loggen, som skal væk. Fix disse med HijackThis:

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)


Det er ikke ualmindeligt at disse infektioner laver lidt "rav" i Windows, så der er lidt eftervikninger efter et fix. Prøv lige disse ting:


Din baggrund kan du sætte, ved at højreklikke på skrivebordet, og vælge "egenskaber". Hvis du ikke kan, så kør denne fil http://www.spywareinfo.dk/download/fixskrivebord.reg


Prøv også dette:


Med denne kommando, får du repareret, og gendannet, defekte eller manglende systemfiler


Gå i start - kør - skriv: sfc /scannow Tast Enter.

Din Windows cd skal ligge i drevet under denne kommando
Og det mellemrum skal være der mellem sfc og / (Hvis du ikke har den, så prøv uden)


Hent så denne zipfil, og udpak den http://www.fbeej.ctrlaltdel.dk/Programmer/iereg.zip

Dobbeltklik på IEReg.bat. Du får et sort DOS vindue, så bliver dine IE dll filer registreret.


Hent og installer dette lille program til at rense maskinen med http://www.greyknight17.com/spy/CleanUp.exe

Kør programmet, og klik Cleanup.

Prøv så gå i Start/Kør | Tilbehør | Systemværktøjer, og kør en diskdefragmentering.


Og så liiige en, forhåbentlig, sidste log.

---

Hej stl_s

Næsten igennem. Vi er flyttet for nogle uger siden til et midlertidigt hus, så en del ting er stadig pakket ned (og det regnede jeg egentlig med, at de skulle blive) - her iblandt min windows diskette. Så jeg må se, om jeg på en eller anden måde kan finde den (50 flyttekasser stablet ind i et lille værelse - men hynder, senge, ski, skistøvler osv.... : ØV )

Men har prøvet alt andet og er godt nok noget forundret: Cleanup frigjorde i første kørsel 85.883 filer med 3,3 GB ... det er f..... helt vildt!!

Hermed seneste logfile - ændres vel ikke, selv om sfc køres?

Logfile of HijackThis v1.99.0
Scan saved at 23:28:46, on 27-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMER\AVPERSONAL\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\Plaxo\2.4.1.5\InstallStub.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\3com\Connection Assistant\bin\mpbtn.exe
C:\PROGRA~2\3com\CONNEC~1\Common\MOTIVE~1.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\msiexec.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\downloads\virusscan antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programmer\Plaxo\2.4.1.5\InstallStub.exe -a
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: 3Com Connection Assistant.lnk = C:\Program Files\3com\Connection Assistant\bin\matcli.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-søgning - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://C:\Programmer\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://C:\Programmer\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://C:\Programmer\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://C:\Programmer\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {1221EA33-878F-4672-B799-05DAAF1298CF} (sysinfo1 Class) - http://resources.tele2.dk/privat/internet/pctest/systeminfo1.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101082677796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129247719046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programmer\Autodesk\Inventor Professional 8\bin\HSPCLPRO10.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMMER\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe

---

Hej erling_l

Den med flyttekasserne kender jeg også godt

sfc /scannow kan du måske køre uden CD´en. Det kan man på nogen maskiner. Den ændrer ikke på noget i loggen. Den gendanner eller reparerer dine vigtigste systemfiler.

Kan du mærke oprydningen med CleanUp? 3.3 gb, tjaeh, det var sq en sjat

Loggen er i princippet ren, men jeg syntes lige at du skal se dette http://www.bleepingcomputer.com/startups/silent.exematcli.exe-926.html

---

Hej igen

Lige en enkelt ting.... selv om der er ryddet op , og hastigheden på selve PC'en er kommet tilbage (ved ikke helt med internnettet - bedre end da det var langsomst, men synes måske, der mangler en snip), ja, så bliver jeg ved med at få en box fra virusscanneren, når systemet har stået nogle minutter - samme fil som før:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{4166B095-2C17-468D-A6F5-182248AC2137}\RP267\A0069930. EXE
Is the Trojan horse TR/Favadd.aj.2

Troede egentlig den var væk med cleanup?

Det er muligt, at den reelt ikke betyder noget, men det irriterer mig bare at få den. Tror du man kan gøre et eller andet andet?

---

Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.

Så forsvinder den reaktion fra dit antivirus.

Du får lige et par udmærkede artikler, med tips til at speede internettet og din maskine op. Du kan bruge det af det du har lyst til:

http://www.eksperten.dk/artikler/791

http://mywebpages.comcast.net/SupportCD/OptimizeXP.html


Hvis du vil have tjekket om der skulle gemme sig nogle rester af "snavs" som ikke kan ses i HijackThis, så kan du prøve at køre en scanning med denne udmærkede gratis malwarescanner http://www.emsisoft.com/en/software/free/ Den har en dansk sprogpakke, som medfølger.

---

Ved ikke rigtigt med hastigheden. Tro måske at jeg bliver lidt snydt af, at der tidligere har været lidt cache på siderne - som så først lige skal oparbejdes igen.

Normalt, hvis jeg åbner f.eks. eb.dk, føler jeg, at den er der med det samme. Nu får jeg en lille blå "load-bjælke", der viser indlæsningen. Det er ikke vildt - det tager et sekund eller 2 at indlæse avisforsiderne (såvel eb som bt) - det er bare anderledes, fordi jeg føler, at det tidligere var der med det samme.

Men har i alt fald kørt de 2 sidste tip igennem, og synes egentlig ikke, jeg gider rigtigt mere lige nu.

I alt fald ser det ud som om "virus-boksen" er væk - og det lettede

Når man støder imod så mange antivirus og antiadware programmer, som hver især ligesom kan finde sin egen lille specielle ting, kunne man s'gu' godt have mistænkt programmørerne i, at de selv lige skaber deres egen lille delvirum / deladware som en del af deres markedsføring (så deres egne programmer bliver uundværlige).

Hm... men har i alt fald stødt på og lært et par spændende ting undervejs.

1000 tak for hjælpen stl_s.
                        

---

Der findes faktisk en masse dårlige programmer, som selv lægger skidt ind. Du kan se dem, og deres synderegister her http://www.spywarewarrior.com/rogue_anti-spyware.htm

Du får lige en pakke her til sidst. Den er der med garanti ikke snavs i :)http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Velbekomme, og tak for point.

---

Du skal lige melde dig på "seneste 25" for de sidste point, jeg lovede...

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.