Hjælp og vejledninger mv. - Scareware

Print side | Luk vindue

Scareware - antivirus pro 2010

Udskrevet fra: Nettips.dk
Kategori: Tips til...
Forumnavn: Hjælp og vejledninger mv.
Forumbeskrivelse: Spørg om alt - samt vejledninger, du kan søge på
Web-adresse: https://www.nettipsforum.dk/forum_posts.asp?TID=10822
Udskrevet den: 27 Mar 2026 kl. 01:43
Version: Web Wiz Forums 12.04 - http://www.webwizforums.com

Emne: Scareware - antivirus pro 2010

Skrevet af: Guests
Emne: Scareware - antivirus pro 2010
Skrevet den: 30 Sep 2009 kl. 20:41

Hej!

Jeg har været så uheldig at få Antivirus pro 2010 installeret på min computer, uden selv at have gjort noget. Den har deaktiveret alle mine virusprogrammer og tillader mig ikke at installere nye. Jeg har prøvet at køre Malwarebytes' rouge remover, men jeg kan enten ikke finde ud af at bruge den ordentligt, eller også virker den ikke(har nemlig læst på en anden hjemmeside jeg skulle bruge den, men det var dog på 09 udgaven, så ved ikke om det har betydning).

Er der nogen der kan hjælpe mig?

Jeg vil nødig gendanne min harddisk, da ALT ligger på den og det er et stykke tid siden jeg har taget backup, og jeg tør slet ikke lægger noget på en USB og så over på en anden computer, for virussen kan vel flytte med?

Håber der er nogle der kan hjælpe!

På forhånd tak - AK

Svar:

Skrevet af: Garfield
Skrevet den: 30 Sep 2009 kl. 20:48

Kan du ikke afinstallerer Antivirus pro 2010 - og så derefter installerer et andet virusprogram - hvilket styringssystem kører du - for du kan fjerne det i Tilføj/og fjernprogrammer (hvis du kører windows xp eller vista), eller via et godt program der hedder REVO -link her http://www.revouninstaller.com/ - http://www.revouninstaller.com/ , så burde du kunne få det væk og installerer andre virus programmer. Hvilket du så skal vælge er der l000 svar på. Det er så mange gode freeware programmer.

Forresten velkommen til Nettips

-------------
garfield

Skrevet af: El Barsko
Skrevet den: 30 Sep 2009 kl. 20:51

Desværre garfield, det er vius, som AK har fået.

Vi må håbe på, at de eksperter der kan den slags, snart dukker op.

-------------
Venlig hilsen El Barsko

Optimisten er ofte lige så forkert på den, som pessimisten...

men han har det sjovere.

Skrevet af: krummedige
Skrevet den: 30 Sep 2009 kl. 21:01

Malwarebytes skulle kunne nakke den...

http://www.bleepingcomputer.com/virus-removal/remove-antivirus-pro-2010 - http://www.bleepingcomputer.com/virus-removal/remove-antivirus-pro-2010

Skrevet af: Garfield
Skrevet den: 30 Sep 2009 kl. 21:09

Det har jeg da totalt misforstået - som skrevet står, troede jeg, det var et antivirus program.

Ja, ja jeg må lære det - må jeg

Tak El barsko for informationen. - så skal jeg jo bare holde fingerne fik og ikke blande mig yderligere.

-------------
garfield

Skrevet af: Garfield
Skrevet den: 30 Sep 2009 kl. 21:12

Nu er jeg også så heldig stillet (pu ha bank under bordet) at jeg ikke har haft virus siden 2003 - for jeg bevæger mig ikke rundt på alverdens ukendte sites, spil, programmer og deslignende. Så derfor er jeg en novice på det område.

-------------
garfield

Skrevet af: El Barsko
Skrevet den: 30 Sep 2009 kl. 21:15

Garfield skrev:

Det har jeg da totalt misforstået - som skrevet står, troede jeg, det var et antivirus program.

Ja, ja jeg må lære det - må jeg

Tak El barsko for informationen. - så skal jeg jo bare holde fingerne fik og ikke blande mig yderligere.

Som du sikkert ved, Garfield: man kan ikke vinde - hver gang.

-------------
Venlig hilsen El Barsko

Optimisten er ofte lige så forkert på den, som pessimisten...

men han har det sjovere.

Skrevet af: Garfield
Skrevet den: 30 Sep 2009 kl. 21:21

Det var da et vink med en vognstang.

Nu går jeg i seng og trækker dynen op over hovedet .

-------------
garfield

Skrevet af: El Barsko
Skrevet den: 30 Sep 2009 kl. 21:28

Garfield skrev:

Det var da et vink med en vognstang.

Nu går jeg i seng og trækker dynen op over hovedet .

Så har du da totalt misfortået mig

- det var en munter bemærnig.

Ups - så først nu din smilye

-------------
Venlig hilsen El Barsko

Optimisten er ofte lige så forkert på den, som pessimisten...

men han har det sjovere.

Skrevet af: Garfield
Skrevet den: 30 Sep 2009 kl. 21:37

Nej - du er bare så morsom og jeg forstod det godt. Kendte bare ikke den betegnelse - som AK skrev om tidligere, i min naivitet troede jeg det var et program.

-------------
garfield

Skrevet af: Netsurferen2
Skrevet den: 30 Sep 2009 kl. 21:41

her står lidt om dette på spywarefri.dk: http://www.spywarefri.dk/forum/viewthread/73878/ - http://www.spywarefri.dk/forum/viewthread/73878/
og
http://www.spywarefri.dk/vejledning-til-analyse-logs - http://www.spywarefri.dk/vejledning-til-analyse-logs

-------------
HUSK: den mest udbredte fejl er, fejl40 ;-)
Windows 10 Home 64-bit
https://www.avast.com/da-dk/free-antivirus-download" rel="nofollow - Avast

Skrevet af: El Barsko
Skrevet den: 30 Sep 2009 kl. 21:42

Garfield skrev:

Nej - du er bare så morsom og jeg forstod det godt. Kendte bare ikke den betegnelse - som AK skrev om tidligere, i min naivitet troede jeg det var et program.

Det program har - desværer været fremme, som -2008, og -2009, så vidt jeg husker.

-------------
Venlig hilsen El Barsko

Optimisten er ofte lige så forkert på den, som pessimisten...

men han har det sjovere.

Skrevet af: e-tech
Skrevet den: 30 Sep 2009 kl. 21:52

Velkommen til Nettips!

Lad os kigge på det!

Download venligst PureRa http://raproducts.org/click/click.php?id=7 - PureRa mappen.
Dobbeltklik PureRa.exe og vælg Next.
Sæt et flueben ved Check All og klik Clean.

Det vil producere en log når den er færdig. Vi behøver ikke se den.

Download Security Check by screen317 http://screen317.spywareinfoforum.org/SecurityCheck.exe - http://screen317.spywareinfoforum.org/SecurityCheck.exe og gem det på skrivebordet.
Kør SecurityCheck.exe
Følg instruktionen på skærmen.
En Notesblok dokument, checkup.txt, åbnes automatisk. Du bedes kopiere og indsætte indholdet af dokumentet her i tråden.

Luk ned for alle dine sikkerhedsprogrammer inden du kører ComboFix, da vi riskerer at scanningen ikke vil blive udført korrekt.

Hent ComboFix fra
http://download.bleepingcomputer.com/sUBs/ComboFix.exe - http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Vælg Gem og gem den på dit skrivebord:
Kør ComboFix.exe, som du hentede tidligere, og følg anvisningerne.

Til Windows Vista, skal du højreklikke på ComboFix, og klikke "Kør som administrator".

Exclamation

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når ComboFix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil, der hedder ComboFix.txt

Kopiér indholdet af ComboFix.txt og indholdet af checkup.txt i dit næste svar.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: ePost
Skrevet den: 30 Sep 2009 kl. 22:23

Malwarebytes' Rouge Remover virker ikke, fordi den er håbløst forældet. Det er vel mere end et år siden at den blev opgivet og indarbejdet i Malwarebytes' AntiMalware (MBAM). Så det er MBAM, du skal køre. Den fjerner til gengæld problemet. Men få e-tech til at tjekke logs alligevel. Det er ikke sikkert, at det falske program kom alene. Sommetider har de dårligt selskab.

Skrevet af: John Westcoast
Skrevet den: 30 Sep 2009 kl. 22:28

ePost skrev:

Malwarebytes' Rouge Remover virker ikke, fordi den er håbløst forældet. Det er vel mere end et år siden at den blev opgivet og indarbejdet i Malwarebytes' AntiMalware (MBAM). Så det er MBAM, du skal køre. Den fjerner til gengæld problemet. Men få e-tech til at tjekke logs alligevel. Det er ikke sikkert, at det falske program kom alene. Sommetider har de dårligt selskab.

Hej ePost, var det nu ikke smart vi lod en tage sig af AK's problemer, i dette tilfælde etech Wink

-------------
Mvh. John

http://www.nettipsforum.dk/topic20485_post127616.html" rel="nofollow - Nettips Brugervejledning

Skrevet af: krummedige
Skrevet den: 01 Okt 2009 kl. 03:10

Forstår fint dit indlæg Smile

Ellers kan man jo blive helt rundt på gulvet Confused

Men der er jo nok en grund til at AK, ikke har svaret i næsten et døgn.

Alt respekt for e-Tech, og det ved han godt Wink

Meen ?

Velkommen til Nettips!

Lad os kigge på det!

Download venligst PureRa herfra og gem det på skrivebordet.
Udpak den og åben PureRa mappen.
Dobbeltklik PureRa.exe og vælg Next.
Sæt et flueben ved Check All og klik Clean.

Exclamation Det vil producere en log når den er færdig. Vi behøver ikke se den.

Download Security Check by screen317 http://screen317.spywareinfoforum.org/SecurityCheck.exe og gem det på skrivebordet.
Kør SecurityCheck.exe
Følg instruktionen på skærmen.
En Notesblok dokument, checkup.txt, åbnes automatisk. Du bedes kopiere og indsætte indholdet af dokumentet her i tråden.

Luk ned for alle dine sikkerhedsprogrammer inden du kører ComboFix, da vi riskerer at scanningen ikke vil blive udført korrekt.

    * Hent ComboFix fra
      http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Vælg Gem og gem den på dit skrivebord:
    * Kør ComboFix.exe, som du hentede tidligere, og følg anvisningerne.

Til Windows Vista, skal du højreklikke på ComboFix, og klikke "Kør som administrator".

Exclamation Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når ComboFix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil, der hedder ComboFix.txt

Kopiér indholdet af ComboFix.txt og indholdet af checkup.txt i dit næste svar.

Redigeret af e-tech - 30 Sep 2009 kl. 21:53

Vis man ikke kender ret meget til Computer / sikkerhed... Kan ovenstående måske virke " for vildt " En del er nok fiset videre.
Fordi det er for kompliceret ? mange ved ikke hvordan de skal poste en hijack log !
Egentlig også lige meget, da Mbam fjerner skidet, Det taget 5 min, at downloade programmet / installere / opdatere det.
En hurtig scan, og den potte er ude. Der er ingen grund til at gøre det svære end det er.
Vis vedkommende kører Win 7, virker Combo slet ikke ! Ud over det hele går ned.
I øvrigt har ePost ret i sit indlæg,

Jeg mener stadig at e-tesh er den rette( og bedste ) til at løse dette problem. Men der er da et problem, da vedkommende ikke svarer på dette ?

Skrevet af: e-tech
Skrevet den: 01 Okt 2009 kl. 10:15

Hmmmm, jeg skal nok lade være med at blande mig men i dette konkrete tilfælde er jeg bange for at alle disse indblandinger i sidste ende skader brugeren og at tingene ikke altid er nemme som de ser ud. Specielt med dette type snavs.

Har lige renset en maskine med AV Pro 10 i DK og hvis folk tror at det bare er enkelt og hurtigt, så tro om igen. Jeg udsætter altså ikke brugeren til mere end nødvendigt og jeg ved hvad jeg gør og hvorfor.

http://www.malwarecheck.dk/forum/viewtopic.php?t=2832&postdays=0&postorder=asc&start=0 - http://www.malwarecheck.dk/forum/viewtopic.php?t=2832&postdays=0&postorder=asc&start=0

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Admin
Skrevet den: 01 Okt 2009 kl. 10:38

Jeg har selv renset to maskiner med skidtet på + det løse. Det var ikke nogle nemme opgaver og det tager tid og koster tålmodighed at rense for sådan noget crap! Jeg skal derfor ikke blande mig i rense-processen. Jeg sætter min lid til at den rette person herinde hjælper AK igennem.

-------------
Allan Bojsen

http://www.nettipsforum.dk/topic20485_post127616.html" rel="nofollow - Nettips Brugervejledning

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 16:50

Mange tak for de hurtige svar og den fine velkomst!!

Da jeg skrev var jeg allerede ved at bruge Malwarebytes antimalware, og den har afinstalleret programmet! Men - som en vis bruger skrev: det skidt er nok ikke kommet alene. Da jeg efterfølgende forsøgte at køre mit virusprogram gik den helt amok.

Jeg bruger Norton Antivirs 2009 (som jo så er udløbet), så det var nok heller ikke så smart, men hver gang jeg nu forsøger at gøre noget popper der tusind vinduer op på min computer, og andre vinduer meddeler om mails der ikke kunne sendes og modtages til adresser jeg ikke kender..

Desværre er jeg ikke helt så hård til det her computer som andre herinde, men jeg forstår da lidt! Dog må jeg her sige at jeg er helt blank.. Men jeg vil forsøge at køre nogle af de programmer som er foreslået, problemet er bare at det er svært at bruge computeren pga. pop-up'sne.

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 17:02

Her er hvad security check gav mig:

Results of screen317's Security Check version 0.99.0
Windows XP Service Pack 3
``````````````````````````````
Antivirus/Firewall Check:
Windows Security Center service is not running! This report may not be accurate!
OneCare Advisor (Windows Live Toolbar)
Norton AntiVirus (Symantec Corporation)
Norton AntiVirus Help
Norton AntiVirus
Norton AntiVirus SYMLT MSI
Norton AntiVirus Parent MSI
``````````````````````````````
Anti-malware/Other Utilities Check:
Java(TM) 6 Update 11
Java(TM) SE Runtime Environment 6 Update 1
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Out of date Java installed!
Adobe Flash Player 10
Adobe Reader 8.1.2
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Out of date Adobe Reader installed!
``````````````````````````````
Process Check:
objlist.exe by Laurent
Norton ccSvcHst.exe
``````````````````````````````
DNS Vulnerability Check:
GREAT! (Not vulnerable to DNS cache poisoning)

`````````End of Log```````````

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 17:27

Indholdet af combofix.txt:

ComboFix 09-09-30.06 - Anne-Kirsten Norlyk 01-10-2009 17:17.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1030.18.958.563 [GMT 2:00]
Kører fra: c:\documents and settings\Anne-Kirsten Norlyk\Skrivebord\ComboFix.exe
AV: Norton AntiVirus *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton AntiVirus *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((((( Andet, der er slettet )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Dokumenter\byqo.vbs
c:\documents and settings\All Users\Dokumenter\domyfitutu.pif
c:\documents and settings\All Users\Dokumenter\fehar.exe
c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg .exe
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\boheqo.lib
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\egopah.inf
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\imim.exe
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Microsoft\Clip Organizer\Offic10.MGC
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\numeqiba.pif
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\qorevo.reg
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\tubu.reg
c:\documents and settings\Anne-Kirsten Norlyk\Application Data\ygeno.dll
c:\documents and settings\Anne-Kirsten Norlyk\Cookies\dasukirudi.dat
c:\documents and settings\Anne-Kirsten Norlyk\Cookies\exaxosi.vbs
c:\documents and settings\Anne-Kirsten Norlyk\Cookies\fyfa.vbs
c:\documents and settings\Anne-Kirsten Norlyk\Cookies\jyzag.dl
c:\documents and settings\Anne-Kirsten Norlyk\Cookies\ytalos.dl
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\jebusubype._sy
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\mytuqepuji.bin
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\tapedej.com
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Temporary Internet Files\fuhof.vbs
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Temporary Internet Files\iloqa._sy
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Temporary Internet Files\ralemyme.dll
c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Temporary Internet Files\razycyweg.reg
c:\documents and settings\Anne-Kirsten Norlyk\rundll32.exe p0620pin .exe
c:\documents and settings\Anne-Kirsten Norlyk\rundll32.exe sispower .exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe
c:\programmer\Fælles filer\aqifil.vbs
c:\programmer\Fælles filer\wumylamo.dll
c:\programmer\Fælles filer\wytovy.bat
c:\programmer\Fælles filer\xyzoqu._dl
c:\programmer\Fælles filer\yrewavi.pif
c:\programmer\F‘lles filer\aqifil.vbs
c:\programmer\F‘lles filer\wytovy.bat
c:\recycler\S-1-5-21-0280260491-7854223691-392432739-7617
c:\recycler\S-1-5-21-3331523493-2900956685-041497397-7604
c:\recycler\S-1-5-21-5056597083-6765043443-393916102-6594
c:\recycler\S-1-5-21-5210945449-5794548177-569671798-3984
c:\recycler\S-1-5-21-5959534273-6799078296-900347568-3382
c:\recycler\S-1-5-21-6862880533-8909109118-497697161-3192
c:\windows\etym.ban
c:\windows\gywyro.inf
c:\windows\icivu.bin
c:\windows\Installer\1a8f51.msp
c:\windows\Installer\362f9.msi
c:\windows\logisip.reg
c:\windows\lucy._dl
c:\windows\system32\check .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\keyhook .exe
c:\windows\system32\lufor.bat
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\vafufucu.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\yjojone.reg
c:\windows\ywetyx.dll
c:\windows\zaduniri.ban

.
((((((((((((((((((((((((((((((((((((((( Drivers/Tjenester )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_TCPSR
-------\Service_NPF
-------\Service_tcpsr

((((((((((((((((((((((((((((( Filer skabt fra 2009-09-01 til 2009-10-01 )))))))))))))))))))))))))))))))))))
.

2009-09-30 18:57 . 2009-09-30 18:57 -------- d-----w- c:\programmer\Norton Support
2009-09-30 18:56 . 2009-09-30 18:56 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\Symantec
2009-09-30 18:50 . 2009-10-01 14:51 28160 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg.exe
2009-09-30 18:50 . 2009-10-01 14:51 28160 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\soundman.exe
2009-09-30 18:50 . 2009-09-30 19:30 28160 ----a-w- C:\qpkvmdns.exe
2009-09-30 18:33 . 2009-09-30 18:44 288 ----a-w- C:\framework43.5.dat
2009-09-30 18:19 . 2009-09-30 18:19 18341 ----a-w- c:\programmer\Fælles filer\semera.dat
2009-09-30 18:19 . 2009-09-30 18:19 11180 ----a-w- c:\programmer\Fælles filer\ekiz.dat
2009-09-30 18:00 . 2009-09-30 18:00 -------- d-----w- c:\programmer\Paglo
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\programmer\Malwarebytes' Anti-Malware
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 17:27 . 2009-09-30 17:27 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-30 17:23 . 2009-09-30 19:30 110080 ----a-w- C:\eafadie.exe
2009-09-30 17:23 . 2009-09-30 17:23 139776 --sh--r- C:\nqedwx.exe
2009-09-30 17:18 . 2009-09-30 17:18 110080 ----a-w- C:\mtlff.exe
2009-09-30 17:18 . 2009-10-01 14:51 28160 ----a-w- C:\nqxbk.exe
2009-09-30 17:18 . 2009-09-30 18:56 28160 ----a-w- C:\nqxbk .exe
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iPod
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iTunes
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-23 17:18 . 2009-09-23 17:18 -------- d-----w- c:\programmer\QuickTime
2009-09-23 17:16 . 2009-08-28 17:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-09-09 14:47 . 2009-06-21 21:48 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\programmer\MSBuild
2009-09-04 16:10 . 2009-09-04 16:10 -------- d-----w- c:\programmer\Reference Assemblies
2009-09-04 16:10 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-04 16:10 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-01 15:16 . 1979-12-31 22:00 182656 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-10-01 14:51 . 2007-07-11 11:30 28160 ----a-w- c:\windows\system32\Check.exe
2009-10-01 14:51 . 2005-03-08 01:27 28160 ----a-w- c:\windows\system32\Keyhook.exe
2009-10-01 14:51 . 2009-09-30 18:50 28160 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe
2009-09-30 19:13 . 2009-09-30 19:13 -------- d-----w- c:\programmer\Norton AntiVirus
2009-09-30 17:24 . 2009-09-30 17:24 17993 ----a-w- c:\programmer\Fælles filer\ufibymy.lib
2009-09-13 09:42 . 1979-12-31 22:00 83414 ----a-w- c:\windows\system32\perfc006.dat
2009-09-13 09:42 . 1979-12-31 22:00 457902 ----a-w- c:\windows\system32\perfh006.dat
2009-09-05 10:49 . 2007-07-13 14:50 95016 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-09-05 07:48 . 2008-11-26 13:32 74732 ---ha-w- c:\windows\system32\mlfcache.dat
2009-08-28 17:42 . 2008-06-15 19:08 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-05 09:00 . 1979-12-31 22:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-23 15:36 . 2009-07-23 15:19 1643 ----a-w- c:\windows\checkip.dat
2009-07-23 15:21 . 2009-07-23 15:21 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-17 19:03 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 22:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:59 . 1979-12-31 22:00 915456 ----a-w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((((( Start steder i reg.basen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 68856]
"OM2_Monitor"="c:\programmer\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]
"Sony Ericsson PC Suite"="c:\programmer\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-02 393216]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"Broadcom Wireless Manager UI"="c:\windows\system32\bcmntray" [X]
"SynTPLpr"="c:\programmer\Synaptics\SynTP\SynTPLpr.exe" [2009-10-01 28160]
"SynTPEnh"="c:\programmer\Synaptics\SynTP\SynTPEnh.exe" [2009-10-01 28160]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2009-10-01 28160]
"PCMService"="c:\programmer\Arcade\PCMService.exe" [2005-03-09 49152]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-27 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-27 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"LManager"="c:\programmer\Launch Manager\QtZgAcer.EXE" [2009-10-01 28160]
"eRecoveryService"="c:\windows\System32\Check.exe" [2009-10-01 28160]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"OM2_Monitor"="c:\programmer\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programmer\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\programmer\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Microsoft .NET Framework 3.4"="c:\nqxbk.exe" [2009-10-01 28160]
"Malwarebytes Anti-Malware (reboot)"="c:\programmer\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-02-23 77824]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-10-07 88363]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2005-02-25 49152]
"PD0620 STISvc"="P0620Pin.dll" - c:\windows\system32\P0620Pin.dll [2005-05-10 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Anne-Kirsten Norlyk\Menuen Start\Programmer\Start\
Screen Clipper and Launcher til OneNote 2007.lnk - c:\programmer\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\All Users\Menuen Start\Programmer\Start\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2005-3-8 331776]
hpoddt01.exe.lnk - c:\programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmer\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\System32\\USMT\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmer\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmer\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmer\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programmer\\iTunes\\iTunes.exe"=

S3 USBAAPL;Apple Mobile USB Driver;c:\windows\system32\drivers\usbaapl.sys [15-06-2008 21:08 40448]
.
Indhold af mappen 'Planlagte Opgaver'

2008-09-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.lectio.dk/lectio/208/SkemaGenerator.aspx?type=elev&id=1507012146
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Åbn på ny baggrundsfane - c:\programmer\Windows Live Toolbar\Components\da-dk\msntabres.dll.mui/229?cef0197a072d4aed8d9cb87600492185
IE: Åbn på ny forgrundsfane - c:\programmer\Windows Live Toolbar\Components\da-dk\msntabres.dll.mui/230?cef0197a072d4aed8d9cb87600492185
DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} - hxxps://www.djs-netbank.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
.
- - - - TOMME GENVEJE FJERNET - - - -

HKLM-Run-Adobe Photo Downloader - c:\programmer\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
HKLM-RunOnce-SymLnch - c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAV_ESD\20070829\Support\SymLnch\SymLnch.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net - http://www.gmer.net
Rootkit scan 2009-10-01 17:24
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanner skjulte processer ...

scanner skjulte autostarter ...

scanner skjulte filer ...

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(2836)
c:\programmer\CyberLink\Shared Files\CLRCEngine.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\windows\SYSTEM32\BCMWLTRY.EXE
c:\acer\EMANAGER\ANBMSERV.EXE
c:\programmer\FæLLES FILER\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
c:\programmer\BONJOUR\MDNSRESPONDER.EXE
c:\programmer\JAVA\JRE6\BIN\JQS.EXE
c:\programmer\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE
c:\windows\system32\wscntfy.exe
c:\windows\SYSTEM32\RUNDLL32.EXE
c:\windows\SYSTEM32\RUNDLL32.EXE
c:\windows\SYSTEM32\BCMNTRAY.EXE
c:\programmer\SYNAPTICS\SYNTP\SYNTPENH .EXE
c:\programmer\LAUNCH MANAGER\QTZGACER .EXE
c:\windows\SYSTEM32\MSIEXEC.EXE
c:\programmer\IPOD\BIN\IPODSERVICE.EXE
.
**************************************************************************
.
Gennemført tid: 2009-10-01 17:27 - maskinen blev genstartet
ComboFix-quarantined-files.txt 2009-10-01 15:27

Pre-Kørsel: 11.415.650.304 byte ledig
Post-Kørsel: 11.341.004.800 byte ledig

WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

270 --- E O F --- 2009-09-09 18:36

Skrevet af: krummedige
Skrevet den: 01 Okt 2009 kl. 17:54

Hej e-tech
okay det kan åbenbart være en større omgang...
Troede at opskriftten her http://www.bleepingcomputer.com/virus-removal/remove-antivirus-pro-2010
virkede, da jeg har brugt den en gang uden problemer.
Men der er altså nogle vanskellige tilfælde, der kræver mere arbejde.

Og der er du "lys år" foran mig Smile

Skrevet af: e-tech
Skrevet den: 01 Okt 2009 kl. 18:02

Godt gået!

En eller flere infektioner er blevet identificere som backdoor.
Disse er meget farlige fordi de bruger avancerede teknikker (bagdøre) til at få adgang til et computersystem, omgår sikkerhedsmekanismer og stjæler følsomme oplysninger, som de sender tilbage til hackeren.

Hvis computeren blev brugt til online-banking, har kreditkortoplysninger eller andre følsomme oplysninger, bør alle adgangskoder ændres omgående.

Exclamation

Du bør anse dem for at være i fare.

Selv om infektionen er blev identificeret og kan fjernes, din pc har sandsynligvis været i fare, og der er ingen måde at være sikker på, at du nogensinde kan stole på din computer igen.

Det er farligt og forkert at antage, at fordi backdoor er blevet fjernet at computeren er nu sikker. Yderligere, i nogle tilfælde en infektion kan have forvoldt så megen skade på dit system, at det ikke kan være fuldstændig rengjort eller repareret. Malwaren kan efterlade så mange rester bag, som sikkerhedsværktøjer ikke kan finde.

Mange eksperter i sikkerhedssamfundet mener, at når først en maskine er inficeret med denne type malware, er den bedste vej er at formatere og geninstallere operativsystemet.

Men hvis du ikke har ressourcer til at geninstallere din computer, vil jeg gøre mit bedste for at hjælpe med at rense computeren.

Hvis du gerne vil have mig til at hjælpe dig bedes du gøre følgende.

Kopiér indholdet mellem de stiplede linier (med linket) ind i et notepad-vindue, og gem indholdet i samme mappe, som ComboFix ligger med navnet CFScript.txt

--------------------------------------------

http://www.nettipsforum.dk/scareware-antivirus-pro-2010_topic10822_page3.html - http://www.nettipsforum.dk/scareware-antivirus-pro-2010_topic10822_page3.html
KillAll::
Collect::
C:\qpkvmdns.exe
c:\programmer\Fælles filer\semera.dat
c:\programmer\Fælles filer\ekiz.dat
C:\eafadie.exe
C:\nqedwx.exe
C:\mtlff.exe
C:\nqxbk.exe
C:\nqxbk .exe
c:\windows\system32\Check.exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe
FileLook::
C:\framework43.5.dat
c:\windows\system32\usbaaplrc.dll
c:\windows\system32\dllcache\printfilterpipelinesvc.exe
c:\windows\system32\Check.exe
c:\windows\system32\Keyhook.exe
c:\windows\checkip.dat
c:\windows\system32\drivers\usbaapl.sys
c:\windows\system32\mswebdvd.dll
c:\windows\system32\drivers\AegisP.sys
DirLook::
c:\programmer\Paglo
RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

--------------------------------------------

Tag så fat i den nye fil med musen, og før den hen over ComboFix-filen, hvorefter du "giver slip" med musen.

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når ComboFix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: ComboFix.txt

Indholdet af denne fil må du gerne lægge herind til gennemsyn.

Exclamation VIGTIGT!

Når scanningen er udført, ComboFix vil åbne sammen med en meddelelsesboks - det er normalt. Med det ovennævnte script, ComboFix vil indsamle filer og sende dem til analyse.

Du bedes sikre at du har forbindelse til internettet. Klik venligst på OK på meddelelsesboksen.

Benyt venligst Internet Explorer browser, og kør en online scanning med http://www.kaspersky.co.uk/virusscanner - Kaspersky Online Scanner

Bemærk:
Bruger du Microsoft Windows Vista, skal du åbne webbrowseren med "Kør som administrator" kommandoen (findes i højreklik menuen).

Hvis du har brugt denne online scanner før, kan du blive nødt til at afinstallere programmet via Tilføj/fjern programmer, inden du downloader den nye ActiveX-komponent.

Klik på Accept, når du bliver bedt om at hente og installere programfilerne og databasen for malware definitioner.
Klik på Run i sikkerhedsvinduet.

Programmet vil begynde at downloade og installere, og vil også opdatere databasen. Vær tålmodig, da det kan tage flere minutter.
Når opdateringen er færdig, klik på Denne computer under den grønne Scan bjælke til venstre, for at starte scanningen.

Når scanningen er udført vil det blive vist, hvis dit system er inficeret. Scanneren kan ikke rense det fundne. Vi vil gerne bede om rapporten, så vi kan give dig en vejledning til rensning.

Vigtigt! Bliv ikke forskrækket af det der vises i rapporten. Noget af det bliver ofte fundet i karantæneområdet i andre sikkerhedsprogrammer.
Klik på View scan report i bunden.
Klik på Save report as... knappen.
Klik på Save as Text knappen for at gemme filen på skrivebordet, så du kan poste den i dit næste svar.

** Bemærk venligst **
For at optimere scanningstiden og give en mere overskuelig rapport, så gør venligst følgende:
1. Luk alle åbne programmer.
2. Sluk for real-time scanner af alle antivirus og antispyware-programmer, mens du udfører online scanningen.

Bemærkning til Internet Explorer 7 brugere: Hvis du skulle have problemer med at se Accept knappen af licensen, kan du klikke på Zoom-værktøjet placeret i bunden til højre i IE vinduet, og indstille zoom til 75%. Når licensen er accepteret, nulstil til 100%.

Post venligst Kaspersky Online Scanner rapporten i dit svar.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 21:52

Jeg sidder og venter på Combofix, den har arbejdet i 20 minutter nu. Jeg sidder og skriver fra en anden computer, så min bærbare arbejder kun med det.

Men jeg vil helst prøve at redde mine filer hvis muligt, er gymnasieelev så har en pokkers masse liggende siden sidst jeg tog back-up. Men selv hvis jeg formaterer den, er det så stadig ikke sikkert at bruge netbank o.l.?

Skrevet af: e-tech
Skrevet den: 01 Okt 2009 kl. 22:20

Ok, det kan jeg godt forstå. Lad os da se om ikke kan fjerne snavset helt fra din maskine. Det er ikke helt umuligt men jeg vil bare gerne have at du er klar over risici.

Du bør ændre dine kodeord for netbank fra en ren maskine, uanset om du vælger at formatere eller ej.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: ePost
Skrevet den: 01 Okt 2009 kl. 22:24

Det kan vel tildels afhænge af hvad Combofix's log viser, men det lyder ikke godt. Men selvom du må formattere, mon så ikke man kan redde dine private dokumenter alligevel? Du kan eventuelt uploade dem på nettet et eller andet sted. Et gratis Live space eller hvad det nu hedder, det Microsoft tilbyder. Man kan også sende dem til sigselv på eksempelvis Gmail. Så ligger alle dokumenterne, billederne etc. i en webmail, når man er færdig med at formattere. Det er jo ikke alle, der lige kan brænde en CD eller har en flash pen.

Det har desuden den fordel at Googles eller Microsofts antimalware-skanner lige træder i funktion og piller eventuelle dårligdomme fra.

Skrevet af: e-tech
Skrevet den: 01 Okt 2009 kl. 22:27

Det er vigtigt at sørge for at de ikke er inficerede. Det kan man gøre ved at scanne dem.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: ePost
Skrevet den: 01 Okt 2009 kl. 22:29

Ja, præcis. Det bør man selv gøre før dokumenterne evt. sendes eller uploades. At Google og Microsoft så gør det igen, er jo igen skade til.

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 22:34

Okay - det var netop også derfor jeg var bange for at brænde det på en cd eller putte det på en usb, for jeg ville ikke have virus på andre computere. Men at sende det er da en god idé! Det tror jeg at jeg vil gøre.

Nu har jeg forsøgt at bruge Combofix to gange, for at tjekke at alt var gjort korrekt. Den har stået urørt i en halv time og der sker intet, der står bare at den skanner efter inficerede filer og at det kan tage lang tid hvis computeret er kraftigt inficeret.

Skrevet af: ePost
Skrevet den: 01 Okt 2009 kl. 22:39

Tja, du skal jo nok bare lade de køre. Ting tager tid og en halv time er ikke urilmeligt. Det kan tage meget længere tid.

Skrevet af: Guests
Skrevet den: 01 Okt 2009 kl. 22:42

Jeg væbner mig med tålmodighed!

Skrevet af: ePost
Skrevet den: 01 Okt 2009 kl. 22:43

Lyder fint. Der er heller ikke andet at gøre. Smiley´er

Skrevet af: e-tech
Skrevet den: 01 Okt 2009 kl. 22:48

Hvis den bliver ved må du gerne afbryde processen.

Vi gør noget andet i stedet for.

Hent Oldtimers OTMoveIt herfra:

http://oldtimer.geekstogo.com/OTM.exe - KLIK HER
http://oldtimer.geekstogo.com/OTM.exe%20 -
Kør programmet, og kopier indholdet mellem de bølgede linier ind i det venstre felt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
:Files
C:\qpkvmdns.exe
c:\programmer\Fælles filer\semera.dat
c:\programmer\Fælles filer\ekiz.dat
C:\eafadie.exe
C:\nqedwx.exe
C:\mtlff.exe
C:\nqxbk.exe
C:\nqxbk .exe
c:\windows\system32\Check.exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe

:Commands
[emptytemp]
[purity]
[Reboot]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Klik på MoveIt, og følg instruktionerne.

Du vil blive bedt om at genstarte computeren, hvilket du skal acceptere.

Når OTMoveIt er færdig vil der i højre side kunne findes noget tekst. Kopier indholdet af denne tekst herind i tråden til gennemsyn. Logfilen kan også findes i den nyeste undermappe til C:\_OTMoveIt\MovedFiles\

Download venligst SystemLook fra et af nedenstående links, og gem den på skrivebordet.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe - http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

Dobbeltklik SystemLook.exe

Kopiér indholdet markeret med rødt i i programmets tekstfelt:

dir /md5
c:\programmer\Paglo

:file
C:\framework43.5.dat
c:\windows\system32\usbaaplrc.dll
c:\windows\system32\dllcache\printfilterpipelinesvc.exe
c:\windows\system32\Keyhook.exe
c:\windows\checkip.dat
c:\windows\system32\drivers\usbaapl.sys
c:\windows\system32\mswebdvd.dll
c:\windows\system32\drivers\AegisP.sys

Klik Look knappen for at starte scannings processen. .

Et Notesblok vindue vil komme frem når scanningen er udført.

Post indholdet af denne log (SystemLook.txt) i din næste post.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 15:08

Jeg kan ikke åbne linket til at hente Oldtimes OTmoveit.

Og Combofix virker slet ikke, har prøvet hele natten.

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 16:38

Prøv venligst igen at hente Oldtimers OTMoveIt. Den skulle være klar nu.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Prutterhunden
Skrevet den: 02 Okt 2009 kl. 17:52

Til AK.
(Du skal ikke svare på dette. Du har rigeligt om ørerne lige pt.)

Det var da noget af en debut her på Nettips! Puha, AK og ve. "Pige. Træd varsomt, thi scenen er skrå..".
Jeg tror, vi er mange, der følger din bloddryppende fight og sidder og bider negle. Det kan sørme være svært at få smidt uindbudte "gæster" på porten.

Vi vil ikke blande os. Du får den bedste hjælp, du kan få. Men vi håber og ber til, at både du og pjuteren overlever. Pøj-pøj, held og lykke og..

velkommen til Nettips.

-------------
PRUTTERHUNDEN - hurtigere end lyset!

http://www.nettipsforum.dk/topic20485_post127616.html" rel="nofollow - Nettips Brugervejledning

Skrevet af: ePost
Skrevet den: 02 Okt 2009 kl. 18:27

Når tingene har været totalt i hårdknude her hos mig, har Normans lille malware cleaner reddet situationen. Men gør som e-tech skriver. Det er mest sandsynligt, at e-techs metoder kører uden at Norman behøves. Normans malware cleaner kan heller ikke så meget. Men den kan få hul igennem ret tit, så man kan komme til med de tunge værktøjer bagefter.

Link: http://www.norman.com/support/support_tools/58732 - http://www.norman.com/support/support_tools/58732

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 21:12

Okay.. Oldtimers OTMoveit driller mig, jeg gør som beskrevet, men når jeg trykker Move it! Bliver der i højre side skrevet: All acces killed, eller noget i den stil. Jeg går ud fra at dette er en meget dårlig ting!

Prutterhunden - tak for den fine velkomst. Jeg kan kun takke E-tech, Epost m.fl., for at de gider bruge så meget tid på det. Det er guld værd.

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 21:13

Genstarter den? Kan du se noget i folderen C:\_OTMoveIt\MovedFiles\

Prøv venligst en gang til.

Kopier kun denne del ind

:Files
C:\qpkvmdns.exe
c:\programmer\Fælles filer\semera.dat
c:\programmer\Fælles filer\ekiz.dat
C:\eafadie.exe
C:\nqedwx.exe
C:\mtlff.exe
C:\nqxbk.exe
C:\nqxbk .exe
c:\windows\system32\Check.exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe

:Commands
[emptytemp]
[purity]
[Reboot]

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 21:44

yes, nu sker der noget! Der var intet i mappen, men den genstarter netop nu.

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 21:47

OTM Skriver i LOG:

All processes killed
========== FILES ==========
C:\qpkvmdns.exe moved successfully.
c:\programmer\Fælles filer\semera.dat moved successfully.
c:\programmer\Fælles filer\ekiz.dat moved successfully.
C:\eafadie.exe moved successfully.
C:\nqedwx.exe moved successfully.
C:\mtlff.exe moved successfully.
C:\nqxbk.exe moved successfully.
C:\nqxbk .exe moved successfully.
c:\windows\system32\Check.exe moved successfully.
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 65670 bytes

User: Anne-Kirsten Norlyk
->Temp folder emptied: 143142463 bytes
->Temporary Internet Files folder emptied: 86463025 bytes
->Java cache emptied: 39630071 bytes
->Apple Safari cache emptied: 187608643 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 109681 bytes
%systemroot%\System32 .tmp files removed: 3590244 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 439,30 mb

OTM by OldTimer - Version 3.0.0.6 log created on 10022009_214355

Files moved on Reboot...

Registry entries deleted on Reboot...

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 21:49

BINGO!!!

Fortsæt venligst med denne procedure.

Download venligst SystemLook fra et af nedenstående links, og gem den på skrivebordet.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe - http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

Dobbeltklik SystemLook.exe

Kopiér indholdet markeret med rødt i i programmets tekstfelt:

dir /md5
c:\programmer\Paglo

Klik Look knappen for at starte scannings processen. .

Et Notesblok vindue vil komme frem når scanningen er udført.

Post indholdet af denne log (SystemLook.txt) i din næste post.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 21:49

Systemlook.txt:

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 21:49 on 02/10/2009 by Anne-Kirsten Norlyk (Administrator - Elevation successful)

No Context: dir /md5

No Context: c:\programmer\Paglo

No Context:

========== file ==========

C:\framework43.5.dat - File found and opened.
MD5: 81DC8D51CEF39857BF6EDFF96B937316
Created at 18:33 on 30/09/2009
Modified at 18:44 on 30/09/2009
Size: 288 bytes
Attributes: --a---
No version information available.

c:\windows\system32\usbaaplrc.dll - File found and opened.
MD5: 2A9AFE4689704AD55A936E26FB1756C3
Created at 17:16 on 23/09/2009
Modified at 17:42 on 28/08/2009
Size: 2065696 bytes
Attributes: --a---
FileDescription: Apple Mobile Device USB Driver Resource DLL
FileVersion: 1, 45, 0, 0
ProductVersion: 1.45.0.0
OriginalFilename: usbaaplrc.dll
InternalName: usbaaplrc.dll
ProductName: Apple Mobile Device USB Driver Resource DLL
CompanyName: Apple, Inc.
LegalCopyright: © Apple, Inc. All rights reserved.

c:\windows\system32\dllcache\printfilterpipelinesvc.exe - File found and opened.
MD5: 9CAC2BEE7724FC829567400EE751856A
Created at 16:10 on 04/09/2009
Modified at 10:50 on 06/07/2008
Size: 597504 bytes
Attributes: ------
FileDescription: Print Filter Pipeline Host
FileVersion: 6.1.2600.5635 (xpsp_sp3_qfe.080704-1744)
ProductVersion: 6.1.2600.5635
OriginalFilename: PrintFilterPipelineSvc.exe
InternalName: PrintFilterPipelineSvc.exe
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.

c:\windows\system32\Check.exe - Unable to find/read file.

c:\windows\system32\Keyhook.exe - File found and opened.
MD5: E64D0EB7398BDB4004FAEBFD146DA151
Created at 01:27 on 08/03/2005
Modified at 19:13 on 02/10/2009
Size: 28160 bytes
Attributes: --a---
No version information available.

c:\windows\checkip.dat - File found and opened.
MD5: 0EA79C1FD7B21D264B2E2BED4DD9A10A
Created at 15:19 on 23/07/2009
Modified at 15:36 on 23/07/2009
Size: 1643 bytes
Attributes: --a---
No version information available.

c:\windows\system32\drivers\usbaapl.sys - File found and opened.
MD5: 1DF89C499BF45D878B87EBD4421D462D
Created at 19:08 on 15/06/2008
Modified at 17:42 on 28/08/2009
Size: 40448 bytes
Attributes: --a---
FileDescription: Apple Mobile Device USB Driver
FileVersion: 1, 45, 0, 0
ProductVersion: 1.45.0.0
OriginalFilename: usbaapl.sys
InternalName: usbaapl.sys
ProductName: Apple Mobile Device USB Driver
CompanyName: Apple, Inc.
LegalCopyright: © Apple, Inc. All rights reserved.

c:\windows\system32\mswebdvd.dll - File found and opened.
MD5: 4B2DBA6BD0CB864F71E849D28B6D5153
Created at 22:00 on 31/12/1979
Modified at 09:00 on 05/08/2009
Size: 204800 bytes
Attributes: --a---
FileDescription: MSWebDVD-modul
FileVersion: 6.05.2600.5857 (xpsp_sp3_gdr.090804-1435)
ProductVersion: 6.05.2600.5857
OriginalFilename: MSWebDVD
InternalName: MSWebDVD
ProductName: DirectShow
CompanyName: Microsoft Corporation
LegalCopyright: Copyright (C) 1992-2001 Microsoft Corp.

c:\windows\system32\drivers\AegisP.sys - File found and opened.
MD5: 2C5C22990156A1063E19AD162191DC1D
Created at 15:21 on 23/07/2009
Modified at 15:21 on 23/07/2009
Size: 17801 bytes
Attributes: --a---
FileDescription: IEEE 802.1X Protocol Driver
FileVersion: 3.2.0.3
ProductVersion: 3.2.0.3
OriginalFilename: AegisP.sys
InternalName: AegisP.sys
ProductName: AEGIS Client 3.2.0.3
CompanyName: Meetinghouse Data Communications
LegalCopyright: Copyright (C) Meetinghouse Data Communications 1997-2004

-=End Of File=-

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 22:02

Godt gået! Det ser fint ud.

Det er dog stadigvæk et par ting, som vi bliver nødt til at gøre for at sikre at alting er væk.

Du må gerne navigere til og slette mappen c:\programmer\Paglo

Derefter bedes du uploade disse filer

C:\framework43.5.dat
C:\windows\checkip.dat

til http://www.virustotal.com/ - www.virustotal.com/

og poste resultaterne i dit næste svar.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 22:23

framework43.5.dat:

Antivirus	Version	Last Update	Result
a-squared	4.5.0.24	2009.10.02	-
AhnLab-V3	5.0.0.2	2009.10.02	-
AntiVir	7.9.1.27	2009.10.02	-
Antiy-AVL	2.0.3.7	2009.10.02	-
Authentium	5.1.2.4	2009.10.02	-
Avast	4.8.1351.0	2009.10.02	-
AVG	8.5.0.412	2009.10.02	-
BitDefender	7.2	2009.10.02	-
CAT-QuickHeal	10.00	2009.10.01	-
ClamAV	0.94.1	2009.10.02	-
Comodo	2493	2009.10.02	-
DrWeb	5.0.0.12182	2009.10.02	-
eSafe	7.0.17.0	2009.10.01	-
eTrust-Vet	31.6.6773	2009.10.02	-
F-Prot	4.5.1.85	2009.10.02	-
F-Secure	8.0.14470.0	2009.10.02	-
Fortinet	3.120.0.0	2009.10.02	-
GData	19	2009.10.02	-
Ikarus	T3.1.1.72.0	2009.10.02	-
Jiangmin	11.0.800	2009.09.27	-
K7AntiVirus	7.10.858	2009.10.01	-
Kaspersky	7.0.0.125	2009.10.02	-
McAfee	5759	2009.10.02	-
McAfee+Artemis	5759	2009.10.02	-
McAfee-GW-Edition	6.8.5	2009.10.02	-
Microsoft	1.5101	2009.10.02	-
NOD32	4477	2009.10.02	-
Norman	6.01.09	2009.10.02	-
nProtect	2009.1.8.0	2009.10.02	-
Panda	10.0.2.2	2009.10.02	-
PCTools	4.4.2.0	2009.10.02	-
Prevx	3.0	2009.10.02	-
Rising	21.49.22.00	2009.09.30	-
Sophos	4.45.0	2009.10.02	-
Sunbelt	3.2.1858.2	2009.10.02	-
Symantec	1.4.4.12	2009.10.02	-
TheHacker	6.5.0.2.026	2009.10.02	-
TrendMicro	8.950.0.1094	2009.10.02	-
VBA32	3.12.10.11	2009.09.30	-
ViRobot	2009.10.2.1968	2009.10.02	-
VirusBuster	4.6.5.0	2009.10.02	-

Additional information

File size: 288 bytes

MD5...: 81dc8d51cef39857bf6edff96b937316

SHA1..: 089b49042bed9958f2a64999d1f55c0ce2a8c04b

SHA256: 23774b7d9947f41f165777138674a91c5f684f624aada1a4f85fd4d611d4e7e9

ssdeep: 6:NPxbGRYEDrBrSDmEWZ//u7PQE4PmZIFth3uIofNcOLyPAS:NPxbAY4rBr7/O4e
Z2t5uIScGS

PEiD..: -

PEInfo: -

RDS...: NSRL Reference Data Set
-

trid..: Unknown!

pdfid.: -

sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

checkip.dat

Antivirus	Version	Last Update	Result
a-squared	4.5.0.24	2009.10.02	-
AhnLab-V3	5.0.0.2	2009.10.02	-
AntiVir	7.9.1.27	2009.10.02	-
Antiy-AVL	2.0.3.7	2009.10.02	-
Authentium	5.1.2.4	2009.10.02	-
Avast	4.8.1351.0	2009.10.02	-
AVG	8.5.0.412	2009.10.02	-
BitDefender	7.2	2009.10.02	-
CAT-QuickHeal	10.00	2009.10.01	-
ClamAV	0.94.1	2009.10.02	-
Comodo	2493	2009.10.02	-
DrWeb	5.0.0.12182	2009.10.02	-
eSafe	7.0.17.0	2009.10.01	-
eTrust-Vet	31.6.6773	2009.10.02	-
F-Prot	4.5.1.85	2009.10.02	-
F-Secure	8.0.14470.0	2009.10.02	-
Fortinet	3.120.0.0	2009.10.02	-
GData	19	2009.10.02	-
Ikarus	T3.1.1.72.0	2009.10.02	-
Jiangmin	11.0.800	2009.09.27	-
K7AntiVirus	7.10.858	2009.10.01	-
Kaspersky	7.0.0.125	2009.10.02	-
McAfee	5759	2009.10.02	-
McAfee+Artemis	5759	2009.10.02	-
McAfee-GW-Edition	6.8.5	2009.10.02	-
Microsoft	1.5101	2009.10.02	-
NOD32	4477	2009.10.02	-
Norman	6.01.09	2009.10.02	-
nProtect	2009.1.8.0	2009.10.02	-
Panda	10.0.2.2	2009.10.02	-
PCTools	4.4.2.0	2009.10.02	-
Prevx	3.0	2009.10.02	-
Rising	21.49.22.00	2009.09.30	-
Sophos	4.45.0	2009.10.02	-
Sunbelt	3.2.1858.2	2009.10.02	-
Symantec	1.4.4.12	2009.10.02	-
TheHacker	6.5.0.2.026	2009.10.02	-
TrendMicro	8.950.0.1094	2009.10.02	-
VBA32	3.12.10.11	2009.09.30	-
ViRobot	2009.10.2.1968	2009.10.02	-
VirusBuster	4.6.5.0	2009.10.02	-

Additional information
File size: 1643 bytes
MD5...: 0ea79c1fd7b21d264b2e2bed4dd9a10a
SHA1..: 4cf19a528cb5634ba0de23d80dfdf4a41809b1dc
SHA256: 0dbfc3514b9087259bb119fdeb51010ec7fefdbba01d13673a4e4bd2f04d7c12
ssdeep: 24:PS4+IsMRqhXgiQZ2oQArWa9nnCloQOTZksVCFGth:PS4+ARBiQ8oQAbkoQdPG T
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Unknown!
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 22:33

Kopiér indholdet markeret med rødt (med linket) ind i et notepad-vindue, og gem indholdet i samme mappe, som ComboFix ligger med navnet CFScript.txt

http://www.nettipsforum.dk/scareware-antivirus-pro-2010_topic10822_page3.html - http://www.nettipsforum.dk/scareware-antivirus-pro-2010_topic10822_page3.html
KillAll::
Collect::
C:\framework43.5.dat
RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

Tag så fat i den nye fil med musen, og før den hen over ComboFix-filen, hvorefter du "giver slip" med musen.

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når ComboFix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: ComboFix.txt

Indholdet af denne fil må du gerne lægge herind til gennemsyn.

Exclamation VIGTIGT!

Når scanningen er udført, ComboFix vil åbne sammen med en meddelelsesboks - det er normalt. Med det ovennævnte script, ComboFix vil indsamle filer og sende dem til analyse.

Du bedes sikre at du har forbindelse til internettet. Klik venligst på OK på meddelelsesboksen.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 22:53

Når jeg trækker txt filen over i Combofix siger den at der findes en nyere version, om jeg vil opdatere, jeg har her bare trykket JA. Derefter siger den at den vil finde nyt systemgendannelsespunkt, så har den sagt 1) at den ville genstarte, uden så at gøre det. men bare gå direkte til hvad den ellers har sagt 2) Scanner efter inficerede filer.

Den her gang hoppede den direkte til scanner.. Så nu lader jeg den stå her og er tålmodig

Skrevet af: e-tech
Skrevet den: 02 Okt 2009 kl. 22:56

Det er helt fint!

Hvis det ikke sker noget, så prøv at dobbeltklikke ComboFix og køre den uden scriptet.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 23:07

Jeg er ved at køre den uden scriptet nu, og den har slettet noget og forbereder nu Log rapport!

Skrevet af: Guests
Skrevet den: 02 Okt 2009 kl. 23:10

Combofix Log :

ComboFix 09-10-01.05 - Anne-Kirsten Norlyk 02-10-2009 23:04.2.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1030.18.958.645 [GMT 2:00]
Kører fra: c:\documents and settings\Anne-Kirsten Norlyk\Skrivebord\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Andet, der er slettet )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg .exe
c:\documents and settings\Anne-Kirsten Norlyk\rundll32.exe p0620pin .exe
c:\documents and settings\Anne-Kirsten Norlyk\rundll32.exe sispower .exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman .exe
c:\windows\system32\check .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\keyhook .exe

.
((((((((((((((((((((((((((((( Filer skabt fra 2009-09-02 til 2009-10-02 )))))))))))))))))))))))))))))))))))
.

2009-10-02 19:46 . 2009-10-02 19:46 28160 ----a-w- C:\nqxbk.exe
2009-10-02 19:01 . 2009-10-02 19:01 -------- d-----w- C:\_OTM
2009-09-30 18:57 . 2009-09-30 18:57 -------- d-----w- c:\programmer\Norton Support
2009-09-30 18:56 . 2009-09-30 18:56 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\Symantec
2009-09-30 18:50 . 2009-10-02 20:01 28160 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg.exe
2009-09-30 18:50 . 2009-10-02 20:01 28160 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\soundman.exe
2009-09-30 18:33 . 2009-09-30 18:44 288 ----a-w- C:\framework43.5.dat
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\programmer\Malwarebytes' Anti-Malware
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 17:27 . 2009-09-30 17:27 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iPod
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iTunes
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-23 17:18 . 2009-09-23 17:18 -------- d-----w- c:\programmer\QuickTime
2009-09-23 17:16 . 2009-08-28 17:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-09-09 14:47 . 2009-06-21 21:48 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\programmer\MSBuild
2009-09-04 16:10 . 2009-09-04 16:10 -------- d-----w- c:\programmer\Reference Assemblies
2009-09-04 16:10 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-04 16:10 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-02 20:01 . 2005-03-08 01:27 28160 ----a-w- c:\windows\system32\Keyhook.exe
2009-10-01 15:16 . 1979-12-31 22:00 182656 ------w- c:\windows\system32\drivers\ndis.sys
2009-09-30 19:13 . 2009-09-30 19:13 -------- d-----w- c:\programmer\Norton AntiVirus
2009-09-30 17:24 . 2009-09-30 17:24 17993 ----a-w- c:\programmer\Fælles filer\ufibymy.lib
2009-09-13 09:42 . 1979-12-31 22:00 83414 ----a-w- c:\windows\system32\perfc006.dat
2009-09-13 09:42 . 1979-12-31 22:00 457902 ----a-w- c:\windows\system32\perfh006.dat
2009-09-05 10:49 . 2007-07-13 14:50 95016 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-09-05 07:48 . 2008-11-26 13:32 74732 ---ha-w- c:\windows\system32\mlfcache.dat
2009-08-28 17:42 . 2008-06-15 19:08 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-05 09:00 . 1979-12-31 22:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-23 15:36 . 2009-07-23 15:19 1643 ----a-w- c:\windows\checkip.dat
2009-07-23 15:21 . 2009-07-23 15:21 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-17 19:03 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 22:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
.

(((((((((((((((((((((((((((((   mailto:SnapShot@2009-10-01_15.24.16 - SnapShot@2009-10-01_15.24.16    )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-11-20 09:04 . 2006-11-20 09:04 117088              c:\windows\Downloaded Program Files\CONFLICT.1\PURen-us.dll
+ 2009-10-02 20:28 . 2007-01-09 06:30 110592              c:\windows\Downloaded Program Files\CONFLICT.1\PURda-dk.dll
+ 2009-08-19 09:55 . 2009-08-19 09:55 829288              c:\windows\Downloaded Program Files\CONFLICT.1\MsnPUpld.dll
.
(((((((((((((((((((((((((((((((((((   Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"Broadcom Wireless Manager UI"="c:\windows\system32\bcmntray" [X]
"SynTPLpr"="c:\programmer\Synaptics\SynTP\SynTPLpr.exe" [2009-10-02 28160]
"SynTPEnh"="c:\programmer\Synaptics\SynTP\SynTPEnh.exe" [2009-10-02 28160]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2009-10-02 28160]
"PCMService"="c:\programmer\Arcade\PCMService.exe" [2005-03-09 49152]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-27 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-27 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"LManager"="c:\programmer\Launch Manager\QtZgAcer.EXE" [2009-10-02 28160]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"OM2_Monitor"="c:\programmer\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programmer\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\programmer\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Microsoft .NET Framework 3.4"="c:\nqxbk.exe" [2009-10-02 28160]
"Malwarebytes Anti-Malware (reboot)"="c:\programmer\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-02-23 77824]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-10-07 88363]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2005-02-25 49152]
"PD0620 STISvc"="P0620Pin.dll" - c:\windows\system32\P0620Pin.dll [2005-05-10 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Anne-Kirsten Norlyk\Menuen Start\Programmer\Start\
Screen Clipper and Launcher til OneNote 2007.lnk - c:\programmer\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

S3 USBAAPL;Apple Mobile USB Driver;c:\windows\system32\drivers\usbaapl.sys [15-06-2008 21:08 40448]
.
Indhold af mappen 'Planlagte Opgaver'

HKLM-Run-eRecoveryService - c:\windows\System32\Check.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net - http://www.gmer.net
Rootkit scan 2009-10-02 23:07
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanner skjulte processer ...

scanner skjulte autostarter ...

scanner skjulte filer ...

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\System32\BCMLogon.dll
.
Gennemført tid: 2009-10-02 23:08
ComboFix-quarantined-files.txt 2009-10-02 21:08
ComboFix2.txt 2009-10-01 15:27

Pre-Kørsel: 11.521.523.712 byte ledig
Post-Kørsel: 11.572.936.704 byte ledig

170 --- E O F --- 2009-09-09 18:36

Skrevet af: e-tech
Skrevet den: 03 Okt 2009 kl. 08:14

Download The Avenger af Swandog46 http://swandog46.geekstogo.com/avenger2/download.php - - her .

Udpak programmet til en mappe på dit skrivebord.

Dobbeltklik på avenger.exe For at køre The Avenger.

Klik OK.

Vær opmærksom på at begge bokse ved siden af Scan for rootkits og ved siden af Automatically disable any rootkits found er afmærket.

Kopier al teksten markeret med rødt.

Files to delete:
C:\nqxbk.exe
c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg.exe
c:\documents and settings\Anne-Kirsten Norlyk\soundman.exe
C:\framework43.5.dat

Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | SiS Windows KeyHook
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Microsoft .NET Framework 3.4
I Avengers Vindue, klik på Paste Script from Clipboard,

knappen.

Klik på Execute knappen.

Du vil blive spurgt Are you sure you want to execute the current script?.

Klik Yes.

Nu vil du blive spurgt First step completed --- The Avenger has been successfully set up to run on next boot. Reboot now?.

Klik Yes.

Nu vil din computer blive genstartet.

Bemærk: Hvis ovennævnte script indeholder drivere der skal slettes eller deaktiveres, vil The Avenger kræve to genstarter for at fuldføre sit arbejde.

Efter at din computer har gennemført de nødvendige genstarter, burde en log åbne automatisk. Hvis den ikke åbner automatisk, kan den findes i %systemdrive%\avenger.txt (typisk C:\avenger.txt).

Post venligst denne log i dit næste indlæg.

Derefter!

Dobbeltklik SystemLook.exe
Kopiér indholdet markeret med rødt i i programmets tekstfelt:

:file
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\perfc006.dat
c:\windows\system32\perfh006.dat
c:\windows\system32\mswebdvd.dll
c:\windows\system32\atl.dll
c:\windows\system32\wmpdxm.dll

:filefind
*ndis.sys*
*perfc006.dat*
*perfh006.dat*
*mswebdvd.dll*
*atl.dll*
*wmpdxm.dll*

Klik Look knappen for at starte scannings processen.
Et Notesblok vindue vil komme frem når scanningen er udført.
Post indholdet af denne log (SystemLook.txt) i din næste post.

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 03 Okt 2009 kl. 15:45

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Oct 03 15:42:28 2009

15:42:23: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SiS Windows KeyHook"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
15:42:28: Error: Execution aborted by user!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Oct 03 15:42:48 2009

15:42:45: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SiS Windows KeyHook"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
15:42:46: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft .NET Framework 3.4"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
15:42:48: Error: Execution aborted by user!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Oct 03 15:43:31 2009

15:43:10: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SiS Windows KeyHook"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
15:43:12: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft .NET Framework 3.4"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com - http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\nqxbk.exe" deleted successfully.
File "c:\documents and settings\Anne-Kirsten Norlyk\agrsmmsg.exe" deleted successfully.
File "c:\documents and settings\Anne-Kirsten Norlyk\soundman.exe" deleted successfully.
File "C:\framework43.5.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Skrevet af: Guests
Skrevet den: 03 Okt 2009 kl. 15:48

Systemlook's log:

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 15:46 on 03/10/2009 by Anne-Kirsten Norlyk (Administrator - Elevation successful)

========== file ==========

c:\windows\system32\drivers\ndis.sys - File found and opened.
MD5: 1DF7F42665C94B825322FAE71721130D
Created at 22:00 on 31/12/1979
Modified at 15:16 on 01/10/2009
Size: 182656 bytes
Attributes: ------
FileDescription: NDIS 5.1 wrapper driver
FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
ProductVersion: 5.1.2600.5512
OriginalFilename: NDIS.SYS
InternalName: NDIS.SYS
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.

c:\windows\system32\perfc006.dat - File found and opened.
MD5: C2B63D6B04217BDC133EC64D2F7EF24F
Created at 22:00 on 31/12/1979
Modified at 09:42 on 13/09/2009
Size: 83414 bytes
Attributes: --a---
No version information available.

c:\windows\system32\perfh006.dat - File found and opened.
MD5: 2DCB77DA88FF7BA060688BB337516396
Created at 22:00 on 31/12/1979
Modified at 09:42 on 13/09/2009
Size: 457902 bytes
Attributes: --a---
No version information available.

c:\windows\system32\atl.dll - File found and opened.
MD5: F57BF5B1B0964969ED668C869BE2CD51
Created at 22:00 on 31/12/1979
Modified at 19:03 on 17/07/2009
Size: 58880 bytes
Attributes: --a---
FileDescription: ATL Module for Windows XP (Unicode)
FileVersion: 3.05.2284
ProductVersion: 6.05.2284
OriginalFilename: ATL.DLL
InternalName: ATL
ProductName: Microsoft (R) Visual C++
CompanyName: Microsoft Corporation
LegalCopyright: Copyright © Microsoft Corp.

c:\windows\system32\wmpdxm.dll - File found and opened.
MD5: BDD91DDB4FA783C909CCD916FFAB879E
Created at 22:00 on 31/12/1979
Modified at 21:43 on 13/07/2009
Size: 286208 bytes
Attributes: --a---
FileDescription: Windows Media Player Extension
FileVersion: 11.0.5721.5268 (WMP_11.090713-1703)
ProductVersion: 11.0.5721.5268
OriginalFilename: wmpdxm.dll
InternalName: wmpdxm.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.

========== filefind ==========

Searching for "*ndis.sys*"
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ndis.sys.vir --a--- 212224 bytes [22:00 31/12/1979] [19:09 30/09/2009] 3A668A0BEE89D008D6678578AF6B44B8
C:\WINDOWS\$NtServicePackUninstall$\ndis.sys ------ 182912 bytes [13:22 29/07/2008] [03:00 27/08/2004] 558635D3AF1C7546D26067D5D9B6959E
C:\WINDOWS\ERDNT\cache\ndis.sys --a--- 182656 bytes [15:26 01/10/2009] [15:16 01/10/2009] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\ServicePackFiles\i386\ndis.sys ------ 182656 bytes [19:20 13/04/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\system32\dllcache\ndis.sys --a--- 182656 bytes [19:09 30/09/2009] [15:16 01/10/2009] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\system32\drivers\ndis.sys ------ 182656 bytes [22:00 31/12/1979] [15:16 01/10/2009] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\system32\drivers\symndis.sys ------ 35256 bytes [14:32 09/01/2007] [14:32 09/01/2007] 8522728AC549D31A4762C184187EFA68

Searching for "*perfc006.dat*"
C:\WINDOWS\system32\perfc006.dat --a--- 83414 bytes [22:00 31/12/1979] [09:42 13/09/2009] C2B63D6B04217BDC133EC64D2F7EF24F

Searching for "*perfh006.dat*"
C:\WINDOWS\system32\perfh006.dat --a--- 457902 bytes [22:00 31/12/1979] [09:42 13/09/2009] 2DCB77DA88FF7BA060688BB337516396

Searching for "*mswebdvd.dll*"
C:\WINDOWS\$hf_mig$\KB973815\SP3QFE\mswebdvd.dll ------ 204800 bytes [08:53 05/08/2009] [08:53 05/08/2009] A4E4038B5573D3714D1ECFE099252AB1
C:\WINDOWS\ServicePackFiles\i386\mswebdvd.dll ------ 204288 bytes [16:05 14/04/2008] [16:05 14/04/2008] E026F3C9583CCFE2B3BE16ACAE78EFBF
C:\WINDOWS\system32\dllcache\mswebdvd.dll ------ 204800 bytes [09:00 05/08/2009] [09:00 05/08/2009] 4B2DBA6BD0CB864F71E849D28B6D5153
C:\WINDOWS\system32\mswebdvd.dll --a--- 204800 bytes [22:00 31/12/1979] [09:00 05/08/2009] 4B2DBA6BD0CB864F71E849D28B6D5153

Searching for "*atl.dll*"
C:\i386\ASMS\6000\MSFT\VCRTL\ATL.DLL --a--- 74802 bytes [08:31 10/09/2004] [03:00 27/08/2004] 76E06BAE61A2920FFA4E9CB120542CBD
C:\Programmer\Adobe\Reader 8.0\Reader\atl.dll -ra--- 58938 bytes [18:46 31/07/2002] [18:46 31/07/2002] D16903B9431F799877AD6DF13D16BDA0
C:\WINDOWS\$hf_mig$\KB973507\SP3QFE\atl.dll ------ 58880 bytes [19:27 17/07/2009] [19:27 17/07/2009] B9C10105C561FF3ECB5EA2A4C8E0B1FB
C:\WINDOWS\ServicePackFiles\i386\atl.dll ------ 58880 bytes [16:05 14/04/2008] [16:05 14/04/2008] 8C3E5578160DB5D5FEE6CCB9A142681D
C:\WINDOWS\system32\atl.dll --a--- 58880 bytes [22:00 31/12/1979] [19:03 17/07/2009] F57BF5B1B0964969ED668C869BE2CD51
C:\WINDOWS\system32\dllcache\atl.dll ------ 58880 bytes [19:03 17/07/2009] [19:03 17/07/2009] F57BF5B1B0964969ED668C869BE2CD51
C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.0.0_x-ww_ff9986d7\atl.dll --a--- 74802 bytes [22:00 31/12/1979] [03:00 27/08/2004] 76E06BAE61A2920FFA4E9CB120542CBD
C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\atl.dll --a--- 74802 bytes [16:03 14/04/2008] [16:03 14/04/2008] 48FE0F261087FD69E0B7777CF2D77132

Searching for "*wmpdxm.dll*"
C:\WINDOWS\system32\dllcache\wmpdxm.dll --a--- 286208 bytes [22:00 31/12/1979] [21:43 13/07/2009] BDD91DDB4FA783C909CCD916FFAB879E
C:\WINDOWS\system32\wmpdxm.dll --a--- 286208 bytes [22:00 31/12/1979] [21:43 13/07/2009] BDD91DDB4FA783C909CCD916FFAB879E

-=End Of File=-

Skrevet af: e-tech
Skrevet den: 03 Okt 2009 kl. 15:57

Supergodt!

Kopiér indholdet markeret med rødt ind i et notepad-vindue, og gem indholdet i samme mappe, som ComboFix ligger med navnet CFScript.txt

KillAll::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Windows KeyHook"=-
"Microsoft .NET Framework 3.4"=-

-------------
"Our greatest glory is not in never falling, but in rising every time we fall." - Confucius

Skrevet af: Guests
Skrevet den: 03 Okt 2009 kl. 16:57

ComboFix 09-10-01.05 - Anne-Kirsten Norlyk 03-10-2009 16:43.3.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1030.18.958.595 [GMT 2:00]
Kører fra: c:\documents and settings\Anne-Kirsten Norlyk\Skrivebord\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Anne-Kirsten Norlyk\Skrivebord\CFScript.txt
* Dannede nyt systemgendannelsespunkt
.

((((((((((((((((((((((((((((((((((((((( Andet, der er slettet )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((( Filer skabt fra 2009-09-03 til 2009-10-03 )))))))))))))))))))))))))))))))))))
.

2009-10-03 13:50 . 2009-10-03 13:50 -------- d-----w- c:\documents and settings\Administrator
2009-10-03 13:45 . 2009-10-03 13:45 28160 ----a-w- C:\nqxbk.exe
2009-10-02 19:01 . 2009-10-02 19:01 -------- d-----w- C:\_OTM
2009-09-30 18:57 . 2009-09-30 18:57 -------- d-----w- c:\programmer\Norton Support
2009-09-30 18:56 . 2009-09-30 18:56 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\Symantec
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\Anne-Kirsten Norlyk\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\programmer\Malwarebytes' Anti-Malware
2009-09-30 17:55 . 2009-09-30 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-30 17:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 17:27 . 2009-09-30 17:27 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iPod
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\programmer\iTunes
2009-09-23 17:20 . 2009-09-23 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-23 17:18 . 2009-09-23 17:18 -------- d-----w- c:\programmer\QuickTime
2009-09-23 17:16 . 2009-08-28 17:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-09-09 14:47 . 2009-06-21 21:48 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-04 16:11 . 2009-09-04 16:11 -------- d-----w- c:\programmer\MSBuild
2009-09-04 16:10 . 2009-09-04 16:10 -------- d-----w- c:\programmer\Reference Assemblies
2009-09-04 16:10 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-04 16:10 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-04 16:10 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-03 14:40 . 2005-03-08 01:27 28160 ----a-w- c:\windows\system32\Keyhook.exe
2009-10-01 15:16 . 1979-12-31 22:00 182656 ------w- c:\windows\system32\drivers\ndis.sys
2009-09-30 19:13 . 2009-09-30 19:13 -------- d-----w- c:\programmer\Norton AntiVirus
2009-09-30 17:24 . 2009-09-30 17:24 17993 ----a-w- c:\programmer\Fælles filer\ufibymy.lib
2009-09-13 09:42 . 1979-12-31 22:00 83414 ----a-w- c:\windows\system32\perfc006.dat
2009-09-13 09:42 . 1979-12-31 22:00 457902 ----a-w- c:\windows\system32\perfh006.dat
2009-09-05 10:49 . 2007-07-13 14:50 95016 ----a-w- c:\documents and settings\Anne-Kirsten Norlyk\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-09-05 07:48 . 2008-11-26 13:32 74732 ---ha-w- c:\windows\system32\mlfcache.dat
2009-08-28 17:42 . 2008-06-15 19:08 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-05 09:00 . 1979-12-31 22:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-23 15:36 . 2009-07-23 15:19 1643 ----a-w- c:\windows\checkip.dat
2009-07-23 15:21 . 2009-07-23 15:21 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-17 19:03 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 22:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
.

(((((((((((((((((((((((((((((   mailto:SnapShot@2009-10-01_15.24.16 - SnapShot@2009-10-01_15.24.16    )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-03 14:48 . 2009-10-03 14:48 16384              c:\windows\temp\Perflib_Perfdata_e8.dat
+ 2006-11-20 09:04 . 2006-11-20 09:04 117088              c:\windows\Downloaded Program Files\CONFLICT.1\PURen-us.dll
+ 2009-10-02 20:28 . 2007-01-09 06:30 110592              c:\windows\Downloaded Program Files\CONFLICT.1\PURda-dk.dll
+ 2009-08-19 09:55 . 2009-08-19 09:55 829288              c:\windows\Downloaded Program Files\CONFLICT.1\MsnPUpld.dll
.
(((((((((((((((((((((((((((((((((((   Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"Broadcom Wireless Manager UI"="c:\windows\system32\bcmntray" [X]
"SynTPLpr"="c:\programmer\Synaptics\SynTP\SynTPLpr.exe" [2009-10-03 28160]
"SynTPEnh"="c:\programmer\Synaptics\SynTP\SynTPEnh.exe" [2009-10-03 28160]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2009-10-03 28160]
"PCMService"="c:\programmer\Arcade\PCMService.exe" [2005-03-09 49152]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-27 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-27 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-27 455168]
"LManager"="c:\programmer\Launch Manager\QtZgAcer.EXE" [2009-10-03 28160]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"OM2_Monitor"="c:\programmer\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programmer\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\programmer\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Microsoft .NET Framework 3.4"="c:\nqxbk.exe" [2009-10-03 28160]
"Malwarebytes Anti-Malware (reboot)"="c:\programmer\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-02-23 77824]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-10-07 88363]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2005-02-25 49152]
"PD0620 STISvc"="P0620Pin.dll" - c:\windows\system32\P0620Pin.dll [2005-05-10 36864]