HijackThis.log

[Stipp]

Ok..

..Log från en kompis dator

[log]

Logfile of HijackThis v1.99.1

Scan saved at 21:18:21, on 2005-06-15

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\WINAMP\WINAMPA.EXE

C:\PROGRAM\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\LVCOMS.EXE

C:\PROGRAM FILES\BPT\BPT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.placeforsearch.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\SYSTEM\SARISTAR.DLL

O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\SYSTEM\EYCD999.DLL

O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINDOWS\WEBDIR.DLL (file missing)

O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - C:\PROGRAM FILES\XMOD\XM320.DLL

O2 - BHO: (no name) - {9A17E73B-D520-4078-ADF6-B0F4BB752208} - C:\WINDOWS\SYSTEM\EAOK.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMTray] c:\program\mm_tray.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe

O4 - HKLM\..\Run: [AEHKRU] C:\WINDOWS\AEHKRU.exe

O4 - HKLM\..\Run: [bPT] "C:\Program Files\Bpt\bpt.exe"

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\bptre.exe"

O4 - HKLM\..\Run: [DI2] "C:\WINDOWS\TEMP\27.exe\27.exe"

O4 - HKLM\..\Run: [Media Pass] C:\PROGRAM FILES\MEDIA PASS\MediaPassK.exe

O4 - HKLM\..\Run: [system Efficiency Monitor] mscommand.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\Run: [tvs_b] c:\Program Files\tvs\tvs_ln.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRAM\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [sAgent2ExePath] C:\Program\Vanliga filer\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [system Efficiency Monitor] mscommand.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O12 - Plugin for .spop: C:\PROGRAM\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .png: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mid: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlimited/ie/bridge-c10.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF} (vciewer control) - http://www.thepaymentcentre.com/build/vciewer.cab

O18 - Filter: text/html - {3F7A8711-B730-4D3F-8C97-B0F13897748B} - C:\WINDOWS\SYSTEM\EAOK.DLL

O18 - Filter: text/plain - {3F7A8711-B730-4D3F-8C97-B0F13897748B} - C:\WINDOWS\SYSTEM\EAOK.DLL

O21 - SSODL: OLE Module - {0BC9BC01-54D4-4CCE-2B7D-955164314CD4} - C:\WINDOWS\SYSTEM\trf32.dll

 

[/log]

 

OS= ME

 

[Zipp.]

Ladda ner SpSeHjfix109.zip

 

http://www.derbilk.de/SpSeHjfix109.zip

 

Unzippa i en ny mapp på skrivbordet.

Sen koppla bort datorn från nätet (typ dra ut nätverkssladden)

Stäng alla andra öppna program.

Öppna mappen och klicka på Start disinfection.

När datorn har startat om så rensa med Ad-Aware.

Sen starta om igen och skicka en ny Hijack logg.

 

Ibland kan SpSeHjfix ställa till med Internet_Explorer så titta här hur du reparerar den

 

http://www.bleepingcomputer.com/forums/How_to_Repair_Internet_Explorer_6_and_Outlook_Express-tut71.html

 

 

 

[Stipp]

Tack för svar!

 

Unzippa i en ny mapp på skrivbordet.

Sen koppla bort datorn från nätet (typ dra ut nätverkssladden)

Stäng alla andra öppna program.

Öppna mappen och klicka på Start disinfection.

När datorn har startat om ...

 

...Så långt kom jag, sen felmeddelanden:

 

1.Atiptaxx har orsakat ett fel i KERNEL32.DLL

Atiptaxx stängs.

 

Pröva.....

 

2.Explorer har orsakat ett fel i MSHTML.DLL

Explorer stängs.

 

Pröva...

 

3.Det gick inte att ladda C:\Windows\TEMP\SE.DLL

Går inte att hitta filen.

 

 

 

 

 

[Zipp.]

Pröva att reparera Internet_Explorer

 

http://www.bleepingcomputer.com/forums/How_to_Repair_Internet_Explorer_6_and_Outlook_Express-tut71.html

 

starta om datorn och rensa med Ad-aware och sen ny Hijack logg.

[inlägget ändrat 2005-06-15 22:17:39 av Zipp.]

[Stipp]

ok, borde kanske ha sagt att även alla iconer försvann från skrivbordet.

Efter 3 omstarter fick jag igång den, men nu har Ad-aware "tuggat"

Deleting Selection i en halv timme. Är det normalt? (84 object)

Hårddisk dioden blinkar nog ibland.

 

 

[diGitahL]

Ladda ner CWShredder till skrivbordet eller annat ställe. Dubbelklicka CWShredder ikonen att starta, kolla bara updates, inget annat.

Vi ska använda denna senare

http://cwshredder.net/bin/CWShredder.exe

 

Ladda nu ner About:Buster från någon av de här länkarna.

http://www.majorgeeks.com/download4289.html

http://files.iamnotageek.com/aboutbuster.zip

http://www.downloads.subratam.org/AboutBuster.zip

unzippa den till sin egen mapp

dubbelklicka på filen för att köra den, klicka på update, och när den är klar så kan du stänga ner. Vi ska använda den senare.

 

Ladda ner ewido

www.ewido.net/en/download/

 

Sedan installera den.

Sedan uppdatera programmet.(viktigt att updaterar den)

Använd den inte än, vi gör det senare

 

Ladda ner "CCleaner"

Den rensar rent i dina Temporära Internetfiler, Cookies m.m.

http://www.majorgeeks.com/download4191.html

Ladda ner, installera, finns det en ny version ladda ner den och installera den över den gamla.

Använd den inte för nu, vi gör det senare.

 

Gå nu till Kontrollpanelen --> Lägg till/ta bort program.

Leta upp i listan efter:

 

BroadcastPC

MediaPass

Saristar

och andra okända program.

 

Nu måste du starta om i Felsäkert Läge

Starta omoch tryck F8 upprepade gånger under uppstart

 

Starta nu Hijackthis.exe

Välj "Scan", leta upp dessa rader och bocka i dem.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.placeforsearch.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\SYSTEM\SARISTAR.DLL

O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\SYSTEM\EYCD999.DLL

O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINDOWS\WEBDIR.DLL (file missing)

O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - C:\PROGRAM FILES\XMOD\XM320.DLL

O2 - BHO: (no name) - {9A17E73B-D520-4078-ADF6-B0F4BB752208} - C:\WINDOWS\SYSTEM\EAOK.DLL

O4 - HKLM\..\Run: [AEHKRU] C:\WINDOWS\AEHKRU.exe

O4 - HKLM\..\Run: [bPT] "C:\Program Files\Bpt\bpt.exe"

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\bptre.exe"

O4 - HKLM\..\Run: [DI2] "C:\WINDOWS\TEMP\27.exe\27.exe"

O4 - HKLM\..\Run: [Media Pass] C:\PROGRAM FILES\MEDIA PASS\MediaPassK.exe

O4 - HKLM\..\Run: [system Efficiency Monitor] mscommand.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\Run: [tvs_b] c:\Program Files\tvs\tvs_ln.exe

O4 - HKLM\..\RunServices: [system Efficiency Monitor] mscommand.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlimited/ie/bridge-c10.cab

O16 - DPF: {0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF} (vciewer control) - http://www.thepaymentcentre.com/build/vciewer.cab

O18 - Filter: text/html - {3F7A8711-B730-4D3F-8C97-B0F13897748B} - C:\WINDOWS\SYSTEM\EAOK.DLL

O18 - Filter: text/plain - {3F7A8711-B730-4D3F-8C97-B0F13897748B} - C:\WINDOWS\SYSTEM\EAOK.DLL

O21 - SSODL: OLE Module - {0BC9BC01-54D4-4CCE-2B7D-955164314CD4} - C:\WINDOWS\SYSTEM\trf32.dll

 

Klicka nu på Fix Checked

 

Starta nu About:Buster:

*Klicka på OK

*Klicka på Start knappen

*Klicka på OK

*Klicka på Yes

Efter första scanen, om det ploppar upp en ruta där den vill att du ska skanna igen, låt den göra det.

 

Starta nu CWShredder du sparade till skrivbordet.

Klicka bara på FIX knappen, när den är klar, töm papperskorgen.

 

Starta nu CCleaner.

Hur man rensar rent och använder Ccleaner:

Du ser nu två fönster i CCleaner:

Det högra fönstret är Status-Fönster:

Här ser du två knappar snett ner till höger i Status-Fönstret:

För flik 1 och 2 heter knapparna Analysera och Starta Rensning

För flik 3 heter knapparna Sök för Issius och Fixa valda Issues

 

Vänstra Fönstret har tre flikar:

1: ”Windows” är då Microsofts "soptunna" av allt skräp

I "Avancerat" behöver ingenting bockas i . Bocka dock av "Senast använda URLs" i "Internet Explorer" sektionen. Resten är OK

- Klicka på ”Analysera” sedan klicka på Starta rensning i det högra Status-Fönstret.

 

2: ”Applikationer” är lite blandat med även städning av sk 3:e partsprogram.

- Klicka på ”Analysera” sedan klicka på Starta rensning i det högra Status-Fönstret.

 

3: "Issues" städar även registret.

- Klicka på ”Sök för Issius” och sedan ”Fixa valda Issues ” i det högra Status-Fönstret

Stäng nu ner programmet för nu.

 

Sätt nu Windows till att visa gömda filer, det gör du genom:

 

*Den här datorn -> Klicka på Vertygsfältet

*Verktyg -> Ner till "Mappalternativ"

*Mappalternativ -> Klicka på fliken "Visning"

*Visning -> Ner till listan

*Sätt en bock vid "Visa dolda filer och mappar"

*Avbocka "Dölj filnamstillägg fär kända filtyper"

*Avbocka "Dölj skyddade operativsystemfiler" -> Verkställ och sen OK

 

Leta nu upp dessa filer och mappar och ta bort dem:

 

C:\WINDOWS\SYSTEM\SARISTAR.DLL <== Ta bort

C:\WINDOWS\SYSTEM\EYCD999.DLL <== Ta bort

C:\WINDOWS\WEBDIR.DLL <== Ta bort

C:\PROGRAM FILES\XMOD\XM320.DLL <== Ta bort

C:\WINDOWS\SYSTEM\EAOK.DLL <== Ta bort

C:\WINDOWS\SYSTEM\trf32.dll <== Ta bort

C:\WINDOWS\AEHKRU.exe <== Ta bort

C:\Program Files\Bpt\bpt.exe <== Ta bort

C:\Program Files\Common Files\Java\bptre.exe <== Ta bort

C:\PROGRAM FILES\MEDIA PASS\ <== Ta bort

 

Starta nu Windows sökfunktion genom att klicka "Start"--> "Sök"

Klicka på att söka efter "Alla filer och mappar"

Klicka nu på "Fler avancerade alternativ", bocka i "Sök i systemmappar", bocka i "Sök i dolda filer och mappar" och "Sök i undermappar"

 

Sök nu efter följande filer och ta bort dem:

 

mscommand.exe

 

Töm nu papperskorgen.

 

Starta nu Ewido Security Suite du installerade och uppdatera.

Scanna med programmet och ta bort allt som hittas, spara scannen från ewido och posta hit.

 

Starta sedan om datorn till normalläge och skicka en ny Hijack logg och loggen från ewido du scanna med.

 

Så går vi vidare härifrån för att (förhoppningsvis) göra det något enklare.

 

MVH

Marco

 

[inlägget ändrat 2005-06-15 22:55:53 av diGitahL]

[Zipp.]

> iconer försvann från skrivbordet <

 

Oops ..va kan det bero på

 

> Efter 3 omstarter fick jag igång den <

 

Kom ikoner tillbaka?

 

> Är det normalt <

 

Att ta bort alla hittade objekt ska inte ta så länge.

 

[Stipp]

Japp, iconerna kom tillbak!

Men fick avbryta Ad-aware!

Sedan finns inget Microsoft Internet Explorer i Lägg till/Ta bort program?! Alltså går den inte att reparera därifrån.

 

Provade en gång till, men då hade jag plöttsligt "ingen behörighet till den här datorn" *suck*

Nej, jävlar går och lägger mig, skall till jobbet om 5 timmar...återkommer...

 

Tack för intresset Zipp o diGitahL!

 

 

[Zipp.]

Har du haft problem med datorn förut eller börja allt det här efter du körde SpSeHjfix109?

 

[Stipp]

Jo, den betedde sig lika före, klagade på en hel massa DLL- filer

 

Tror att killen har försökt fixa sin dator med att försöka formatera den från en XP-skiva, men som han inte lyckades med...

..Nämligen, när jag startar upp datorn, får jag välja mellan XP:s installations program och ME operativsystem!?

 

[Zipp.]

> Jo, den betedde sig lika före <

 

Ahaa..ok

 

Pröva att rensa med Ad-Aware i felsäkert läge.

Om det inte funkar att ta bort hittade objekt så starta normalt och skicka en ny Hijack logg.

 

[Stipp]

Funkar inte i felsäkert läge!

[log]

Logfile of HijackThis v1.99.1

Scan saved at 20:06:38, on 2005-06-16

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\WINAMP\WINAMPA.EXE

C:\PROGRAM\MM_TRAY.EXE

C:\PROGRAM\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\LVCOMS.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.placeforsearch.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\SYSTEM\SARISTAR.DLL

O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\SYSTEM\EYCD999.DLL

O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINDOWS\WEBDIR.DLL (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {9DC4252D-46AD-404F-9A8B-C3A94D06F9ED} - C:\WINDOWS\SYSTEM\EAOK.DLL (file missing)

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMTray] c:\program\mm_tray.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe

O4 - HKLM\..\Run: [AEHKRU] C:\WINDOWS\AEHKRU.exe

O4 - HKLM\..\Run: [bPT] "C:\Program Files\Bpt\bpt.exe"

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\bptre.exe"

O4 - HKLM\..\Run: [DI2] "C:\WINDOWS\TEMP\27.exe\27.exe"

O4 - HKLM\..\Run: [Media Pass] C:\PROGRAM FILES\MEDIA PASS\MediaPassK.exe

O4 - HKLM\..\Run: [tvs_b] c:\Program Files\tvs\tvs_ln.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRAM\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [sAgent2ExePath] C:\Program\Vanliga filer\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O12 - Plugin for .spop: C:\PROGRAM\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .png: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mid: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlimited/ie/bridge-c10.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O18 - Filter: text/html - {D858AE02-6FAA-4180-854F-536D51DBA462} - C:\WINDOWS\SYSTEM\EAOK.DLL

O18 - Filter: text/plain - {D858AE02-6FAA-4180-854F-536D51DBA462} - C:\WINDOWS\SYSTEM\EAOK.DLL

O21 - SSODL: OLE Module - {0BC9BC01-54D4-4CCE-2B7D-955164314CD4} - C:\WINDOWS\SYSTEM\trf32.dll

 

[/log]

 

[Zipp.]

Pröva diGitahL´s resept.

 

[Stipp]

ok!..prövar!

 

[Stipp]

ok! Ewido fungerar inte me ME!

[log]

Logfile of HijackThis v1.99.1

Scan saved at 21:43:35, on 2005-06-16

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM\VANLIGA FILER\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\WINAMP\WINAMPA.EXE

C:\PROGRAM\MM_TRAY.EXE

C:\PROGRAM\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\LVCOMS.EXE

C:\PROGRAM\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\WINHLP32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMTray] c:\program\mm_tray.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRAM\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [sAgent2ExePath] C:\Program\Vanliga filer\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O12 - Plugin for .spop: C:\PROGRAM\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .png: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mid: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlimited/ie/bridge-c10.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

 

[/log]

 

[Zipp.]

Ser bra ut bocka i och Fix:sa

 

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/GamesUnlimited/ie/bridge-c10.ca

b

 

 

Sen scanna denna fil här

 

C:\WINDOWS\WINHLP32.EXE

 

http://virusscan.jotti.org/

 

så ser man om den är ok eller inte.

 

[Stipp]

Hej igen!

Har utfört diGitahL´s anvisning, vilket plockade bort en hel del!

Scannade C:\WINDOWS\WINHLP32.EXE http://virusscan.jotti.org/

Filen var OK!

 

Men finns fortfarande något skit i dator. Går inte att installera några virus

program, har försökt med AVG från cd och från nätet, flera olika versioner!

 

Fel: Some insallations files are corrupt

CRC failed in files.dat

 

Har försökt online scanna med olika virus prog. F-secure lyckades köra färdigt

till slut (dom andra hakade upp sig, eller datorn startade om)

 

Fann dessa:

c:\WINDOWS\Downloaded Program Files\910009_pythonhh_.exe Trojan.Win32.Dialer.eh

 

c:\WINDOWS\Downloaded Program Files\{5F8A090F-34D8-4573-BA7B-7AC85EBCCF3F}.exe Trojan-Downloader.Win32.Small.acw

 

men kunde inte rensa bort dom, jag hittar dom inte själv heller.

 

Ad-aware har börjat fungera, likaså Spybot (plockat bort 84 trojaner)!

 

Lägger en ny Hj log

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 13:41:13, on 2005-06-18

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\PROGRAM\VANLIGA FILER\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\WINAMP\WINAMPA.EXE

C:\PROGRAM\MM_TRAY.EXE

C:\PROGRAM\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\PROGRAM\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\PROGRAM\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1053,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMTray] c:\program\mm_tray.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRAM\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [sAgent2ExePath] C:\Program\Vanliga filer\EPSON\EBAPI\SAgent2.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O12 - Plugin for .spop: C:\PROGRAM\INTERN~1\Plugins\NPDocBox.dll

O12 - Plugin for .png: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mid: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRAM\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.clipanish.com//scan/Msie/bitdefender.cab

 

[/log]

 

 

 

 

[inlägget ändrat 2005-06-18 13:41:03 av Stipp]

[Zipp.]

Om du har skrivit rätt detta rad

 

c:\WINDOWS\Downloaded Program Files\{5F8A090F-34D8-4573-BA7B-7AC85EBCCF3F}.exe

 

så öppna Hijackken

[log]Config.... > Misc Tools > Delete a file on Reboot

 

Sen kopiera och klistra in rader nedan en i taget och Öppna dom dit och starta om datorn.

 

c:\WINDOWS\Downloaded Program Files\910009_pythonhh_.exe

 

c:\WINDOWS\Downloaded Program Files\{5F8A090F-34D8-4573-BA7B-7AC85EBCCF3F}.exe

 

 

Scanna datorn sen med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

 

Kopiera och skicka hit allt som kommer i nedre fönster.[/log]

 

[Stipp]

ok!

[log]

File C:\WINDOWS\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\WINDOWS\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\cb8033_OUTB.exe tagged as not-a-virus:AdWare.BargainBuddy.p. No Action Taken.

File C:\WINDOWS\pludll.exe tagged as not-a-virus:AdWare.Webdir.a. No Action Taken.

File C:\WINDOWS\SYSTEM\LiveService_9.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.

File C:\WINDOWS\SYSTEM\exul3.exe tagged as not-a-virus:AdWare.BargainBuddy.q. No Action Taken.

File C:\WINDOWS\SYSTEM\tmpf00.exe tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169349.CPY tagged as not-a-virus:AdWare.Gator.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169351.CPY tagged as not-a-virus:AdWare.Gator.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169352.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\A0169354.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\A0169356.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\910009~1.0 infected by "Trojan.Win32.Dialer.eh" Virus. Action Taken: File to be deleted on reboot.

File C:\WINDOWS\SYSTEM\LiveService_9.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.

File C:\WINDOWS\SYSTEM\exul3.exe tagged as not-a-virus:AdWare.BargainBuddy.q. No Action Taken.

File C:\WINDOWS\SYSTEM\tmpf00.exe tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

File C:\WINDOWS\Downloaded Program Files\{5F8A090F-34D8-4573-BA7B-7AC85EBCCF3F}.exe infected by "Trojan-Downloader.Win32.Small.acw" Virus. Action Taken: File Deleted.

File C:\WINDOWS\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\WINDOWS\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\cb8033_OUTB.exe tagged as not-a-virus:AdWare.BargainBuddy.p. No Action Taken.

File C:\WINDOWS\pludll.exe tagged as not-a-virus:AdWare.Webdir.a. No Action Taken.

File C:\Recycled\Dc1\bptre_inst.exe tagged as not-a-virus:AdWare.Broadcap.a. No Action Taken.

File C:\Ny mapp\Aida\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.

File C:\Ny mapp\Aida\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.

File C:\Ny mapp\Aida\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.

File C:\Ny mapp (2)\Program Files\Submit\submithook.dll tagged as not-a-virus:AdWare.ToolBar.FreeComm.b. No Action Taken.

File C:\Program Files\Common Files\Java\bpt.cfg tagged as not-a-virus:AdWare.Broadcap.a. No Action Taken.

File C:\holi159984.exe tagged as not-a-virus:Porn-Dialer.Win32.Holistyc.gen. No Action Taken.

File C:\HiJackThis\backups\backup-20050616-211037-903.dll tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

[/log]

tog bara 20 minuter!?

 

[Edit)

Uups glömde bocka i "Scan All Files"

Scanar på nytt!

 

[inlägget ändrat 2005-06-19 19:13:57 av Stipp]

[Zipp.]

> Uups glömde bocka i "Scan All Files"

Scanar på nytt! <

 

Jep...gör det.

 

 

[Stipp]

Nej för h*e datorn krashar efter 29000 filer, 30 virus funna!

Kanske jag borde försöka radera manuelt enligt första loggen jag skickade?

 

Scannar nu för 3:e gången...

 

I går när jag försökte rensa datorn enligt konstens alla regler, kört alla rensnings program och plockat bort 10 - 15 virus o säkert 100 trojaner

så kom ett Windows meddelande att det är något fel på registret och Windows återställer registret och startar om dator!

När datorn startade upp på nytt, frågade den om jag ville ställa om till sommartid. Sedan var upplösningen på skärmen ändrad, bakgrundsbilden

borttagen och en hel del andra inställningar ändrade. Och alla jävla virus o trojaner var tillbaks!

 

Gjorde rensnings proceduren på nytt, med samma resultat! Men nu fanns

en bild av en boxningshandske som bakgrundsbild

 

Ida när jag försökte installera Kaspersky så kom hela tiden felmedelanden:

CRC och skadade filer, fick ta om 20 ggr innan det fungerade.

 

*Ouppfunnet fult ord*

 

[Zipp.]

Hmmm.. tänkte på din inlägg här

 

16 juni 2005 08:11

 

Kanske dags att installera om allt....men visst kan vi pröva att rensa om du vill.

 

[Stipp]

Jo jag vet.... men det här är ju hur som helst hehe.

Det är inte ens min dator

 

Tror jag fick färdig kört kaspersky nu!

 

[log]

File C:\WINDOWS\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\WINDOWS\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\cb8033_OUTB.exe tagged as not-a-virus:AdWare.BargainBuddy.p. No Action Taken.

File C:\WINDOWS\pludll.exe tagged as not-a-virus:AdWare.Webdir.a. No Action Taken.

File C:\WINDOWS\SYSTEM\LiveService_9.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.

File C:\WINDOWS\SYSTEM\exul3.exe tagged as not-a-virus:AdWare.BargainBuddy.q. No Action Taken.

File C:\WINDOWS\SYSTEM\tmpf00.exe tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169349.CPY tagged as not-a-virus:AdWare.Gator.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169351.CPY tagged as not-a-virus:AdWare.Gator.a. No Action Taken.

File C:\_RESTORE\TEMP\A0169352.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\A0169354.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\A0169356.CPY tagged as not-a-virus:Porn-Dialer.Win32.AGBDial. No Action Taken.

File C:\_RESTORE\TEMP\A0170961.CPY tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.

File C:\_RESTORE\TEMP\A0170964.CPY tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.

File C:\_RESTORE\TEMP\A0174157.CPY tagged as not-a-virus:AdWare.Broadcap.a. No Action Taken.

File C:\WINDOWS\SYSTEM\LiveService_9.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.

File C:\WINDOWS\SYSTEM\exul3.exe tagged as not-a-virus:AdWare.BargainBuddy.q. No Action Taken.

File C:\WINDOWS\SYSTEM\tmpf00.exe tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

File C:\WINDOWS\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\WINDOWS\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\WINDOWS\cb8033_OUTB.exe tagged as not-a-virus:AdWare.BargainBuddy.p. No Action Taken.

File C:\WINDOWS\pludll.exe tagged as not-a-virus:AdWare.Webdir.a. No Action Taken.

File C:\Program\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.

File C:\Ny mapp (2)\Program Files\Submit\submithook.dll tagged as not-a-virus:AdWare.ToolBar.FreeComm.b. No Action Taken.

File C:\Program Files\Common Files\Java\bpt.cfg tagged as not-a-virus:AdWare.Broadcap.a. No Action Taken.

File C:\holi159984.exe tagged as not-a-virus:Porn-Dialer.Win32.Holistyc.gen. No Action Taken.

File C:\HiJackThis\backups\backup-20050616-211037-903.dll tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

[/log]

 

[Zipp.]

Dolda filer synliga titta här hur man gör

 

http://www.xtra.co.nz/help/0,,4155-1916458,00.html

 

Starta sen i felsäkert läge och ta bort dessa filer

 

[log]C:\WINDOWS\msbe.dll

 

C:\WINDOWS\nvms.dll

 

C:\WINDOWS\mscb.dll

 

C:\WINDOWS\cb8033_OUTB.exe

 

C:\WINDOWS\pludll.exe

 

C:\WINDOWS\SYSTEM\LiveService_9.dll

 

C:\WINDOWS\SYSTEM\exul3.exe

 

C:\WINDOWS\SYSTEM\tmpf00.exe

 

C:\Ny mapp (2)\Program Files\Submit\submithook.dll

 

C:\Program Files\Common Files\Java\bpt.cfg

 

C:\holi159984.exe

 

 

Stanna sen i felsäkert läge och pröva att scanna med mwav.exe [/log]

 

[Stipp]

Here we go...

[log]

File C:\Recycled\Dc1.exe tagged as not-a-virus:Porn-Dialer.Win32.Holistyc.gen. No Action Taken.

File C:\Recycled\Dc2.cfg tagged as not-a-virus:AdWare.Broadcap.a. No Action Taken.

File C:\Recycled\Dc3.dll tagged as not-a-virus:AdWare.ToolBar.FreeComm.b. No Action Taken.

File C:\Recycled\Dc4.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\Recycled\Dc5.dll tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\Recycled\Dc6.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

File C:\Recycled\Dc7.exe tagged as not-a-virus:AdWare.BargainBuddy.p. No Action Taken.

File C:\Recycled\Dc8.exe tagged as not-a-virus:AdWare.Webdir.a. No Action Taken.

File C:\Recycled\Dc9.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.

File C:\Recycled\Dc10.exe tagged as not-a-virus:AdWare.BargainBuddy.q. No Action Taken.

File C:\Recycled\Dc11.exe tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

File C:\Program\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.

File C:\HiJackThis\backups\backup-20050616-211037-903.dll tagged as not-a-virus:AdWare.Appolinaria.a. No Action Taken.

[/log]

PS.

Har tömt papperskorgen!