Hjlp mod virus/trojansk hest

jeg aner ikke hvormange point dette burde give, hvis 200 ikke er nok, så sig til, så laver jeg et andet indlæg istedet.
Det haster meget med hjlp, jeg får hele tiden pop-ups omkring spyware osv.. :(

Skal vi gætte:
Win98, ME, W2000, XP, Vista, Win7, OS/2, Unix, Linux, ... ?

---

Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
http://vistaguide.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Mht.: Vista - HøjreMusseTast på *.EXE filen - Kør som Administrator...

------------------

Hej

Tak for din hjælp indtil nu. Jeg bruger Vista.

Jeg er i gang med at køre malwarebytes nu.

under skanningen lukkede computeren pludselig ned, med besked om det var pga sikkerhed.
Når jeg har startet op igen, kan jeg ikke køre hverken malwarebytes eller hijackthis. Der står:
Hijackthis.exe is infected with worm Lsas.Blaster.Keyloger. This worm is trying to send credit card details using Hijackthis.exe to remote host.


Det samme står der hvis jeg forsøger at køre malwarebytes..

jeg sidder iøvrigt på en anden computer og skriver nu, da jeg heller ikke kan åbne explorer...

UHA - du er ude i 'deep shit' ...

---

-- Fra en ANDEN PC -> Hent Combofix fra et af disse links, og gem den på dit skrivebord:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

NB: Du må ikke døbe den Combofix.exe, men eksempelvis BANAN.exe med det samme.

Copy denne BANAN.EXE til en andet medie; USB memorystick ell. lign.

-- Kør så combofix.exe (BANAN.exe), fra nævnte medie og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt (Denne skal så også copy den anden vej til en 'rask' PC...)
Indholdet af denne fil må du gerne lægge herind.

Den computer jeg skriver har, har jeg ikke mulighed for at gemme filer på, så jeg kan ikke gemme "banan.exe" filen. Jeg har fået åbnet explorer på den inficerede computer. Computeren vil dog ikke acceptere at jeg gemmer eller kører filen. Så jeg kan desværre ikke gøre det idag. Kan du hjælpe hvis jeg skriver herinde imorgen?

...Den computer jeg skriver har, har jeg ikke mulighed for at gemme filer på... - ikke forstået ?

Under alle omstændigheder -> Du skal på en eller anden måde have denne "BANAN.EXE" over på den syge PC; uden den 'opdager' at det egentlig er en "ComboFix.exe" ...

Ja jeg kan godt se det ikke giver mening.
Jeg kan ikke gemme på denne computer eller på noget andet medie fra denne computer. Det er en computer med begrænset adgang, så jeg kan ikke engang vælge "gem som".
Jeg forsørger imorgen, når jeg har min anden bærbare. Håber du har mulighed for at hjælpe der.

(I'will Be Back!!!)

Jeg har forsøgt nu. Har fået banan.exe på en usb, og forsøgt at køre den. Når jeg prøver at køre banan.exe får jeg dog samme fejl som tidligere, med de andre programmer at den banan.exe er infected with worm....

... så stik mig førnævnte Log fra en HiJackThis ... så jeg ka' se tendensen...

jeg kan heller ikke køre hijackthis. Uanset hvad jeg prøver, kommer der op omkirng at den exe fil jeg vil køre er infected.

prøver lige igen...uanset hvilken af de foreslåede ting, jeg prøver, kommer der besked om at exe filen er infected..

Hmmm...

Prøv tilsvarende i [Fejlsikker tilstand...] ?

hvordan er det jeg får fejlsikret tilstand?

http://www.fromsej.dk/html/xpfejl.html

Dette er hvad jeg har fået frem fra Combofix via fejlsikret tilstand:

ComboFix 09-10-30.01 - Julie 31-10-2009 15:45.1.2 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Business  6.0.6000.0.1252.45.1030.18.1013.657 [GMT 1:00]
Kører fra: E:\BANAN.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3815228288-3740772556-1963257759-500
c:\$recycle.bin\S-1-5-21-741154993-759284812-1146952621-500
c:\$recycle.bin\S-1-5-21-918056312-2952985149-2686913973-500
c:\programdata\10890523
c:\programdata\10890523\10890523.exe
c:\programdata\21366523
c:\programdata\21366523\21366523.exe
c:\programdata\50083319
c:\programdata\50083319\50083319.exe
c:\users\Julie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
c:\users\Julie\Desktop\Security Tool.lnk

.
(((((((((((((((((((((((((((((  Filer skabt fra 2009-09-28 til 2009-10-31  )))))))))))))))))))))))))))))))))))
.

2009-10-31 11:20 . 2009-10-31 11:20    --------    d-----w-    c:\windows\LastGood
2009-10-30 19:49 . 2009-10-30 19:49    --------    d-----w-    c:\users\Julie\AppData\Roaming\Malwarebytes
2009-10-30 19:48 . 2009-09-10 13:54    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 19:48 . 2009-10-30 19:48    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware
2009-10-30 19:48 . 2009-10-30 19:48    --------    d-----w-    c:\programdata\Malwarebytes
2009-10-30 19:48 . 2009-09-10 13:53    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-10-30 19:41 . 2009-10-30 19:41    --------    d-----w-    c:\program files\CCleaner
2009-10-28 12:06 . 2009-09-10 15:29    311296    ----a-w-    c:\windows\system32\unregmp2.exe
2009-10-28 12:06 . 2009-09-10 17:40    4096    ----a-w-    c:\windows\system32\dxmasf.dll
2009-10-28 12:06 . 2009-09-10 17:39    7680    ----a-w-    c:\windows\system32\spwmp.dll
2009-10-28 12:06 . 2009-09-10 15:29    8147968    ----a-w-    c:\windows\system32\wmploc.DLL
2009-10-25 14:30 . 2009-10-25 14:30    --------    d-----w-    c:\users\Julie\AppData\Local\TVU Networks
2009-10-25 14:30 . 2009-10-25 14:30    --------    d-----w-    c:\programdata\TVU Networks
2009-10-25 14:29 . 2009-10-25 14:29    --------    d-----w-    c:\program files\TVUPlayer
2009-10-16 14:05 . 2009-08-27 13:57    56320    ----a-w-    c:\windows\system32\iesetup.dll
2009-10-16 14:05 . 2009-08-27 11:24    26624    ----a-w-    c:\windows\system32\ieUnatt.exe
2009-10-16 14:05 . 2009-08-27 09:51    48128    ----a-w-    c:\windows\system32\mshtmler.dll
2009-10-16 14:05 . 2009-08-05 14:28    3467864    ----a-w-    c:\windows\system32\ntoskrnl.exe
2009-10-16 14:05 . 2009-08-05 14:28    3502152    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2009-10-16 14:05 . 2009-09-04 12:38    60928    ----a-w-    c:\windows\system32\msasn1.dll
2009-10-16 14:05 . 2009-09-14 09:50    130048    ----a-w-    c:\windows\system32\drivers\srv2.sys
2009-10-16 14:05 . 2009-04-02 11:50    604672    ----a-w-    c:\windows\system32\WMSPDMOD.DLL
2009-10-03 13:30 . 2009-10-01 09:29    195440    ------w-    c:\windows\system32\MpSigStub.exe
2009-10-03 13:24 . 2009-08-07 02:24    44768    ----a-w-    c:\windows\system32\wups2.dll
2009-10-03 13:24 . 2009-08-07 02:24    53472    ----a-w-    c:\windows\system32\wuauclt.exe
2009-10-03 13:24 . 2009-08-07 02:23    1929952    ----a-w-    c:\windows\system32\wuaueng.dll
2009-10-03 13:24 . 2009-08-07 01:45    2421760    ----a-w-    c:\windows\system32\wucltux.dll
2009-10-03 13:24 . 2009-08-07 02:24    35552    ----a-w-    c:\windows\system32\wups.dll
2009-10-03 13:24 . 2009-08-07 02:23    575704    ----a-w-    c:\windows\system32\wuapi.dll
2009-10-03 13:24 . 2009-08-07 01:44    87552    ----a-w-    c:\windows\system32\wudriver.dll
2009-10-03 13:23 . 2009-08-06 17:23    171608    ----a-w-    c:\windows\system32\wuwebv.dll
2009-10-03 13:23 . 2009-08-06 16:44    33792    ----a-w-    c:\windows\system32\wuapp.exe

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-31 11:22 . 2007-02-02 10:39    80288    ----a-w-    c:\windows\system32\perfc006.dat
2009-10-31 11:22 . 2007-02-02 10:39    485600    ----a-w-    c:\windows\system32\perfh006.dat
2009-10-19 14:42 . 2009-02-08 20:46    --------    d-----w-    c:\programdata\CanonIJPLM
2009-10-17 01:20 . 2006-11-02 11:18    --------    d-----w-    c:\program files\Windows Mail
2009-09-10 17:38 . 2009-10-16 14:06    216576    ----a-w-    c:\windows\system32\msv1_0.dll
2009-08-29 03:41 . 2009-09-02 21:33    1686528    ----a-w-    c:\windows\system32\gameux.dll
2009-08-29 03:40 . 2009-09-02 21:33    28672    ----a-w-    c:\windows\system32\Apphlpdm.dll
2009-08-28 23:31 . 2009-09-02 21:33    4247552    ----a-w-    c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-27 14:02 . 2009-10-16 14:06    832512    ----a-w-    c:\windows\system32\wininet.dll
2009-08-27 13:57 . 2009-10-16 14:06    78336    ----a-w-    c:\windows\system32\ieencode.dll
2009-08-27 13:56 . 2009-10-16 14:06    72704    ----a-w-    c:\windows\system32\admparse.dll
2009-08-14 17:16 . 2009-09-09 16:48    213592    ----a-w-    c:\windows\system32\drivers\netio.sys
2009-08-14 16:42 . 2009-09-09 16:48    167424    ----a-w-    c:\windows\system32\tcpipcfg.dll
2009-08-14 16:40 . 2009-09-09 16:48    103936    ----a-w-    c:\windows\system32\netiohlp.dll
2009-08-14 16:40 . 2009-09-09 16:48    15360    ----a-w-    c:\windows\system32\netevent.dll
2009-08-14 14:25 . 2009-09-09 16:48    9728    ----a-w-    c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:25 . 2009-09-09 16:48    17920    ----a-w-    c:\windows\system32\ROUTE.EXE
2009-08-14 14:25 . 2009-09-09 16:48    11264    ----a-w-    c:\windows\system32\MRINFO.EXE
2009-08-14 14:25 . 2009-09-09 16:48    27136    ----a-w-    c:\windows\system32\NETSTAT.EXE
2009-08-14 14:25 . 2009-09-09 16:48    8704    ----a-w-    c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:25 . 2009-09-09 16:48    19968    ----a-w-    c:\windows\system32\ARP.EXE
2009-08-14 14:25 . 2009-09-09 16:48    10240    ----a-w-    c:\windows\system32\finger.exe
2009-08-14 14:24 . 2009-09-09 16:48    813568    ----a-w-    c:\windows\system32\drivers\tcpip.sys
2009-08-14 14:23 . 2009-09-09 16:48    22016    ----a-w-    c:\windows\system32\netiougc.exe
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-09 1232896]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-04-11 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-01 815104]
"LoadFUJ02E3"="c:\program files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-11-17 80688]
"IndicatorUtility"="c:\program files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-11-07 97072]
"LoadFujitsuQuickTouch"="c:\program files\Fujitsu\Application Panel\QuickTouch.exe" [2006-11-26 260912]
"LoadBtnHnd"="c:\program files\Fujitsu\BtnHnd\BtnHnd.exe" [2006-11-12 68400]
"TvOutSwitch"="c:\program files\Fujitsu\DispSwitch\DispSwitchLauncher.exe" [2006-11-17 81920]
"PSUtility"="c:\program files\Fujitsu\PSUtility\TrayManager.exe" [2006-10-30 136744]
"SSUtility"="c:\program files\Fujitsu\SSUtility\FJSSDMN.exe" [2006-11-13 239144]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2005-12-15 188416]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-20 4018176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\System32\drivers\FJGSDisk.sys [11-03-2007 18:52 10368]
R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [12-02-2007 18:07 36640]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [12-02-2007 18:07 33152]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\System32\drivers\fuj02e3.sys [12-02-2007 18:08 5632]
S2 PowerSavingUtilityService;PowerSavingUtilityService;c:\program files\Fujitsu\PSUtility\PSUService.exe [30-10-2006 16:37 63016]
S2 WirelessSelectorService;WirelessSelectorService;c:\program files\Fujitsu\WirelessSelector\WSUService.exe [05-12-2006 00:06 57344]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [02-11-2006 11:25 167936]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [30-10-2009 20:48 38224]
S3 SMSCIRDA;SMSC Infrared Device Driver;c:\windows\System32\drivers\smscirda.sys [25-04-2007 13:32 31232]
S3 USBAAPL;Apple Mobile USB Driver;c:\windows\System32\drivers\usbaapl.sys [07-11-2008 14:23 32000]

--- Andre Services/Drivers i Hukommelsen ---

*NewlyCreated* - ECACHE
*NewlyCreated* - MBR
*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork    REG_MULTI_SZ      PLA DPS BFE mpssvc
.
Indhold af mappen 'Planlagte Opgaver'

2009-10-31 c:\windows\Tasks\User_Feed_Synchronization-{AA4F171B-F090-4B68-AD2D-81FE03516C29}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://tv2.dk/
uInternet Settings,ProxyOverride = *.local
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: danid.dk
Trusted Zone: danskebank.dk
Trusted Zone: danid.dk
DPF: {1B77DC8B-0BCF-4669-ACA1-EBCAD4524D10} - hxxps://hairtools.dk/salon/hairtools.cab
DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} - hxxp://download06.managerzone.com/soccer-3d/PowerLoader.cab
DPF: {4F2A3649-7A9F-4950-9C31-409FAC6FC7C8} - hxxps://danid.dk/csp/authenticode/csp.exe
DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
.
- - - - TOMME GENVEJE FJERNET - - - -

HKCU-Run-RiskIISetup.exe - c:\users\Julie\Desktop\RISKII~1.EXE
HKCU-Run-50083319 - c:\programdata\50083319\50083319.exe
HKCU-Run-10890523 - c:\programdata\10890523\10890523.exe
HKCU-Run-21366523 - c:\progra~2\21366523\21366523.exe
HKLM-RunOnce-<NO NAME> - (no file)
AddRemove-Lexmark 4300 Series - c:\program files\Lexmark 4300 Series\Install\x86\Uninst.exe
AddRemove-ScandicBookmakers.com - c:\program files\ScandicBookmakers.com\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-31 15:51
Windows 6.0.6000  NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Gennemført tid: 2009-10-31 15:52
ComboFix-quarantined-files.txt  2009-10-31 14:52

Pre-Kørsel: 8.252.784.640 byte ledig
Post-Kørsel: 7.983.915.008 byte ledig

- - End Of File - - DFD27B8DA800345E23BB0D6784F3A244

Kan du køre cf fra normaltilstand?

ja det kan jeg nu. jeg skriver om lidt med en log.

Dette er fra combofix i normaltilstand. skal jeg prøve at køre malwarebytes eller hijackthis?

ComboFix 09-10-30.01 - Julie 31-10-2009 16:13.1.2 - NTFSx86
Microsoft® Windows Vista™ Business  6.0.6000.0.1252.45.1030.18.1013.392 [GMT 1:00]
Kører fra: E:\BANAN.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((  Filer skabt fra 2009-09-28 til 2009-10-31  )))))))))))))))))))))))))))))))))))
.

2009-10-31 15:24 . 2009-10-31 15:24    --------    d-----w-    c:\users\Public\AppData\Local\temp
2009-10-31 15:24 . 2009-10-31 15:24    --------    d-----w-    c:\users\Default\AppData\Local\temp
2009-10-31 15:13 . 2008-02-14 19:45    21560    ----a-w-    c:\windows\system32\drivers\atapi.sys
2009-10-31 15:13 . 2006-10-31 12:46    250368    ----a-w-    c:\windows\system32\drivers\iastor.sys
2009-10-31 15:13 . 2006-10-12 10:47    33152    ----a-w-    c:\windows\system32\drivers\o2sd.sys
2009-10-31 15:13 . 2006-10-03 13:23    36640    ----a-w-    c:\windows\system32\drivers\o2media.sys
2009-10-31 14:52 . 2009-10-31 15:24    --------    d-----w-    c:\users\Julie\AppData\Local\temp
2009-10-31 14:45 . 2009-10-31 14:52    --------    d-----w-    C:\BANAN
2009-10-30 19:49 . 2009-10-30 19:49    --------    d-----w-    c:\users\Julie\AppData\Roaming\Malwarebytes
2009-10-30 19:48 . 2009-09-10 13:54    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 19:48 . 2009-10-30 19:48    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware
2009-10-30 19:48 . 2009-10-30 19:48    --------    d-----w-    c:\programdata\Malwarebytes
2009-10-30 19:48 . 2009-09-10 13:53    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-10-30 19:41 . 2009-10-30 19:41    --------    d-----w-    c:\program files\CCleaner
2009-10-28 12:06 . 2009-09-10 15:29    311296    ----a-w-    c:\windows\system32\unregmp2.exe
2009-10-28 12:06 . 2009-09-10 17:40    4096    ----a-w-    c:\windows\system32\dxmasf.dll
2009-10-28 12:06 . 2009-09-10 17:39    7680    ----a-w-    c:\windows\system32\spwmp.dll
2009-10-28 12:06 . 2009-09-10 15:29    8147968    ----a-w-    c:\windows\system32\wmploc.DLL
2009-10-25 14:30 . 2009-10-25 14:30    --------    d-----w-    c:\users\Julie\AppData\Local\TVU Networks
2009-10-25 14:30 . 2009-10-25 14:30    --------    d-----w-    c:\programdata\TVU Networks
2009-10-25 14:29 . 2009-10-25 14:29    --------    d-----w-    c:\program files\TVUPlayer
2009-10-16 14:05 . 2009-08-27 13:57    56320    ----a-w-    c:\windows\system32\iesetup.dll
2009-10-16 14:05 . 2009-08-27 11:24    26624    ----a-w-    c:\windows\system32\ieUnatt.exe
2009-10-16 14:05 . 2009-08-27 09:51    48128    ----a-w-    c:\windows\system32\mshtmler.dll
2009-10-16 14:05 . 2009-08-05 14:28    3467864    ----a-w-    c:\windows\system32\ntoskrnl.exe
2009-10-16 14:05 . 2009-08-05 14:28    3502152    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2009-10-16 14:05 . 2009-09-04 12:38    60928    ----a-w-    c:\windows\system32\msasn1.dll
2009-10-16 14:05 . 2009-09-14 09:50    130048    ----a-w-    c:\windows\system32\drivers\srv2.sys
2009-10-16 14:05 . 2009-04-02 11:50    604672    ----a-w-    c:\windows\system32\WMSPDMOD.DLL
2009-10-03 13:30 . 2009-10-01 09:29    195440    ------w-    c:\windows\system32\MpSigStub.exe
2009-10-03 13:24 . 2009-08-07 02:24    44768    ----a-w-    c:\windows\system32\wups2.dll
2009-10-03 13:24 . 2009-08-07 02:24    53472    ----a-w-    c:\windows\system32\wuauclt.exe
2009-10-03 13:24 . 2009-08-07 02:23    1929952    ----a-w-    c:\windows\system32\wuaueng.dll
2009-10-03 13:24 . 2009-08-07 01:45    2421760    ----a-w-    c:\windows\system32\wucltux.dll
2009-10-03 13:24 . 2009-08-07 02:24    35552    ----a-w-    c:\windows\system32\wups.dll
2009-10-03 13:24 . 2009-08-07 02:23    575704    ----a-w-    c:\windows\system32\wuapi.dll
2009-10-03 13:24 . 2009-08-07 01:44    87552    ----a-w-    c:\windows\system32\wudriver.dll
2009-10-03 13:23 . 2009-08-06 17:23    171608    ----a-w-    c:\windows\system32\wuwebv.dll
2009-10-03 13:23 . 2009-08-06 16:44    33792    ----a-w-    c:\windows\system32\wuapp.exe

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-31 11:22 . 2007-02-02 10:39    80288    ----a-w-    c:\windows\system32\perfc006.dat
2009-10-31 11:22 . 2007-02-02 10:39    485600    ----a-w-    c:\windows\system32\perfh006.dat
2009-10-19 14:42 . 2009-02-08 20:46    --------    d-----w-    c:\programdata\CanonIJPLM
2009-10-17 01:20 . 2006-11-02 11:18    --------    d-----w-    c:\program files\Windows Mail
2009-09-10 17:38 . 2009-10-16 14:06    216576    ----a-w-    c:\windows\system32\msv1_0.dll
2009-08-29 03:41 . 2009-09-02 21:33    1686528    ----a-w-    c:\windows\system32\gameux.dll
2009-08-29 03:40 . 2009-09-02 21:33    28672    ----a-w-    c:\windows\system32\Apphlpdm.dll
2009-08-28 23:31 . 2009-09-02 21:33    4247552    ----a-w-    c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-27 14:02 . 2009-10-16 14:06    832512    ----a-w-    c:\windows\system32\wininet.dll
2009-08-27 13:57 . 2009-10-16 14:06    78336    ----a-w-    c:\windows\system32\ieencode.dll
2009-08-27 13:56 . 2009-10-16 14:06    72704    ----a-w-    c:\windows\system32\admparse.dll
2009-08-14 17:16 . 2009-09-09 16:48    213592    ----a-w-    c:\windows\system32\drivers\netio.sys
2009-08-14 16:42 . 2009-09-09 16:48    167424    ----a-w-    c:\windows\system32\tcpipcfg.dll
2009-08-14 16:40 . 2009-09-09 16:48    103936    ----a-w-    c:\windows\system32\netiohlp.dll
2009-08-14 16:40 . 2009-09-09 16:48    15360    ----a-w-    c:\windows\system32\netevent.dll
2009-08-14 14:25 . 2009-09-09 16:48    9728    ----a-w-    c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:25 . 2009-09-09 16:48    17920    ----a-w-    c:\windows\system32\ROUTE.EXE
2009-08-14 14:25 . 2009-09-09 16:48    11264    ----a-w-    c:\windows\system32\MRINFO.EXE
2009-08-14 14:25 . 2009-09-09 16:48    27136    ----a-w-    c:\windows\system32\NETSTAT.EXE
2009-08-14 14:25 . 2009-09-09 16:48    8704    ----a-w-    c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:25 . 2009-09-09 16:48    19968    ----a-w-    c:\windows\system32\ARP.EXE
2009-08-14 14:25 . 2009-09-09 16:48    10240    ----a-w-    c:\windows\system32\finger.exe
2009-08-14 14:24 . 2009-09-09 16:48    813568    ----a-w-    c:\windows\system32\drivers\tcpip.sys
2009-08-14 14:23 . 2009-09-09 16:48    22016    ----a-w-    c:\windows\system32\netiougc.exe
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-09 1232896]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-04-11 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-01 815104]
"LoadFUJ02E3"="c:\program files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-11-17 80688]
"IndicatorUtility"="c:\program files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-11-07 97072]
"LoadFujitsuQuickTouch"="c:\program files\Fujitsu\Application Panel\QuickTouch.exe" [2006-11-26 260912]
"LoadBtnHnd"="c:\program files\Fujitsu\BtnHnd\BtnHnd.exe" [2006-11-12 68400]
"TvOutSwitch"="c:\program files\Fujitsu\DispSwitch\DispSwitchLauncher.exe" [2006-11-17 81920]
"PSUtility"="c:\program files\Fujitsu\PSUtility\TrayManager.exe" [2006-10-30 136744]
"SSUtility"="c:\program files\Fujitsu\SSUtility\FJSSDMN.exe" [2006-11-13 239144]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2005-12-15 188416]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-20 4018176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\System32\drivers\FJGSDisk.sys [11-03-2007 18:52 10368]
R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [31-10-2009 16:13 36640]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [31-10-2009 16:13 33152]
R2 PowerSavingUtilityService;PowerSavingUtilityService;c:\program files\Fujitsu\PSUtility\PSUService.exe [30-10-2006 16:37 63016]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\System32\drivers\fuj02e3.sys [12-02-2007 18:08 5632]
R3 SMSCIRDA;SMSC Infrared Device Driver;c:\windows\System32\drivers\smscirda.sys [25-04-2007 13:32 31232]
S2 WirelessSelectorService;WirelessSelectorService;c:\program files\Fujitsu\WirelessSelector\WSUService.exe [05-12-2006 00:06 57344]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [02-11-2006 11:25 167936]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [30-10-2009 20:48 38224]
S3 USBAAPL;Apple Mobile USB Driver;c:\windows\System32\drivers\usbaapl.sys [07-11-2008 14:23 32000]

--- Andre Services/Drivers i Hukommelsen ---

*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork    REG_MULTI_SZ      PLA DPS BFE mpssvc
.
Indhold af mappen 'Planlagte Opgaver'

2009-10-31 c:\windows\Tasks\User_Feed_Synchronization-{AA4F171B-F090-4B68-AD2D-81FE03516C29}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://tv2.dk/
uInternet Settings,ProxyOverride = *.local
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: danid.dk
Trusted Zone: danskebank.dk
Trusted Zone: danid.dk
DPF: {1B77DC8B-0BCF-4669-ACA1-EBCAD4524D10} - hxxps://hairtools.dk/salon/hairtools.cab
DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} - hxxp://download06.managerzone.com/soccer-3d/PowerLoader.cab
DPF: {4F2A3649-7A9F-4950-9C31-409FAC6FC7C8} - hxxps://danid.dk/csp/authenticode/csp.exe
DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-31 16:24
Windows 6.0.6000  NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Gennemført tid: 2009-10-31 16:26
ComboFix-quarantined-files.txt  2009-10-31 15:26
ComboFix2.txt  2009-10-31 14:52

Pre-Kørsel: 6.946.033.664 byte ledig
Post-Kørsel: 6.922.752.000 byte ledig

- - End Of File - - 17A3D2E0572ADF8B49C8A42B762D0D07

Log fra hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:18, on 31-10-2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\DispSwitch\DispSwitchLauncher.exe
C:\Program Files\Fujitsu\PSUtility\TrayManager.exe
C:\Program Files\Fujitsu\SSUtility\FJSSDMN.exe
C:\Program Files\ltmoh\ltmoh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Windows\system32\conime.exe
C:\Users\Julie\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tv2.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [TvOutSwitch] C:\Program Files\Fujitsu\DispSwitch\DispSwitchLauncher.exe
O4 - HKLM\..\Run: [PSUtility] C:\Program Files\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [SSUtility] C:\Program Files\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: *.danskebank.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {1B77DC8B-0BCF-4669-ACA1-EBCAD4524D10} (HAIRTOOLS.Salon) - https://hairtools.dk/salon/hairtools.cab
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} -
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://download06.managerzone.com/soccer-3d/PowerLoader.cab
O16 - DPF: {4F2A3649-7A9F-4950-9C31-409FAC6FC7C8} (IssueUtilCtrl Class) - https://danid.dk/csp/authenticode/csp.exe
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxce_device -  - C:\Windows\system32\lxcecoms.exe
O23 - Service: PowerSavingUtilityService - FUJITSU LIMITED - C:\Program Files\Fujitsu\PSUtility\PSUService.exe
O23 - Service: WirelessSelectorService - Unknown owner - C:\Program Files\Fujitsu\WirelessSelector\WSUService.exe

--
End of file - 7017 bytes

jeg er gået igang med at køremalwarebytes også

*SUK* ? En ikke Microsoft opdateret Vista samt (tilsyneladende) intet sikkerhedsprogram ? *SUK*

---

MalwareBytes - hvis du 'må' for systemet...
NB: HøjreMusseTast - "Kør som Administrator..."

nu siger du suk, og selvfølgelig er det mit eget ansvar, men når man ikke har forstand på tingene, så er ting der virker åbenlyst for nogen, ikke så åbenlyst for andre. Desværre.

Det virker til at jeg får lov at sætte skanningen over i malwarebytes denne gang, så når jeg har en log ligger jeg den ind.

Undskyld - men det er 'gammel vane' ...

Afventer loggen...

---

Og så skal vi lige have dette Opdatering + sikkerhed på plads senere/bagefter...

så kom log'en.

Malwarebytes' Anti-Malware 1.41
Database version: 3070
Windows 6.0.6000

31-10-2009 17:28:37
mbam-log-2009-10-31 (17-28-37).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 214549
Tid tilbagelagt: 50 minute(s), 39 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 3

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Qoobox\Quarantine\C\ProgramData\10890523\10890523.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\ProgramData\21366523\21366523.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\ProgramData\50083319\50083319.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

der er sket store forandringer siden igår. Der kunne jeg intet gøre på den inficerede pc. og der når jeg åbnede "Denne computer", stod der at der var mange mange vira og trojanske heste, kan dog ikke huske tallet. Det undrer mig at der nu kun er 3 inficerede filer. Kan det skyldes at comfix blev kørt igennem?

Ovenstående 'inficerede filer' er fra ComboxFix's Quarantine ...

ok, så der er stadig mange andre? Jeg afventer bare eller?

Ta' en oprydning med nævnte CCleaner...

Så skal vi lige have sikkerheden rimeligt på plads ->
http://www.spywarefri.dk/sikkerhedspakken/
Eksempelvis [Avast!] - Følg link'et direkte -> http://files.avast.com/iavs4pro/setupdan.exe
(Du skal registere dig indenfor de først 50 dage; derefter vil den virke de næste 14 måneder...)

---

Husk M$ ServicePack1 til Vista -> http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=f559842a-9c9b-4579-b64a-09146a0ba746
Husk M$ ServicePack2 til Vista (32bit) -> http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d

Vil nok ta' sin tid med ovenstående; men det skal til...

---

Derefter til WindowsUpdate for en del efterfølgende opdateringer; bla IE8 ...

---

Go' For' It...

når jeg har kørt cleaner, vil du så mene min computer er ren igen?

+ alt det øvrige i #32 !!!

Afinstall ComboFix ->

[Start][Kør] - I boxen skriver du:

Combofix /u ENTER

Efter sådan en omgang skal du lige fjerne de inficerede filer i system restore.

Microsofts Vista:
1. Højreklik på >Computer >Egenskaber.
2. Klik på > Avancerede system indstillinger"> og vælg > System beskyttelses > fanen fra menuen.
3. Fjern fluebenet ved drev C og tryk OK.
4. Åben start menuen og søg på > Diskoprydning.
5. Vent på at diskoprydning får arbejdet færdig.
6. Klik på fanen > Flere indstillinger.
7. I feltet Systemgendannelse, klik på > Ryd op.
8. Luk nu vinduerne og genstart computeren.
9. Aktiver Systemgendannelse på samme måde du deaktiverede det.

Safe Surfing...

ja. jeg forstår bare det du skriver, som om at de andre ting er forbedring af sikkerhed så computeren ikke bliver inficeret igen.
Når man skal registrere sig, koster det så penge?

Og bare lige for at være sikker. Jeg skal have både service pack 1 og 2 til vista?

jeg afventer pt avast. Da jeg installerede skulle der genstartes, og nu bliver systemet skannet. Det tager sin tid.

Først SP1 ... Så SP2 ... Så WindowsUpdate (evt. over flere omgange...)

Du skal nok reserver 4-6 timer (PC arbejder) til denne omgang!

---

PS: Registering af [Avast!] koster ikke $$ ...

Så blev avant færdig. Når jeg i kør skriver Combofix /u får jeg denne besked:

windows kan ikke finde combofix. Kontroller du skrev navnet korrekt. og forsøg derefter igen.

Kan det være fordi jeg kørte combifix fra usb nøglen? Skal jeg så gøre noget andet istedet?

[i]...jeg kørte combifix fra usb nøglen...[/u] - jeps selvfølgelig derfor...

Gå bare igang med SP1 + SP2 + ... proceduren...

Når de to service pakker er installeret, hvordan kom jeg så videre? Du skriver opdatering af windows, er der evt. nogle links?

Jeg får også denne fejl:
Dette program blev blokeret på grund af kompabilitetsproblemer.
Program: Fujitsu, shock sensor
Udgiver: Fujitsu Limited
Placering: C:\Program\Program Files\Fujitsu\SSUtility\FJSSDMN.exe

Der er installeret en driver, der forårsager stabilitetsproblemer på computeren. Denne driver vil blive deaktiveret. Kontakt driverproducenten for at få en opdatering, de er kompatibel med denne version af windows.

Hvad kan jeg gøre?

Derudover kommer der en pop-up frem omkring blokerede standardprogrammer. Er det noget jeg skal gøre noget ved?

Program: Fujitsu, shock sensor - det program kan du evt. deaktivere...

pop-up frem omkring blokerede standardprogrammer - det er nemlig en af pointerne med sikkerhed. Check om det/de programmer der 'blokeres' er valide/OK og 'godkend' ...

---

Med CCleaner - værktøjer - opstart -> kan du selv deaktivere/fjern elementer i din opstart.

---

Husk manuelt til WindowsUpdate - findes i din [Start] menu...

Når jeg klikker på "blokerede standardprogrammer", står der en del programmer under "ikke klassificeret", men jeg kan hverken blokere eller godkende. Er der en speciel måde jeg skal gøre det på?

Jeg kan se at nigke at de tilladte programmer, kan jeg vælge at "fjern" og "deaktiver", men jeg kan intet på dem der er ikke klassificeret.

nigke at = på noglea af

Jeg er ikke helt sikker på hvad jeg skal når du skriver:

Med CCleaner - værktøjer - opstart -> kan DU selv deaktivere/fjern elementer i din opstart.

Eksempelvis denne "Fujitsu, shock sensor" 'ting' ?
C:\Program\Program Files\Fujitsu\SSUtility\FJSSDMN.exe

Men du ka' stikke mig en frisk Log fra HiJackThis til allersidst; så ka' du få nogle hint's ...

Jeg forstår ikke hvad du mener. Er det en måde jeg kan gøre, så programmet ikke blokeres?

Her er en log fra hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:05, on 01-11-2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\DispSwitch\DispSwitchLauncher.exe
C:\Program Files\Fujitsu\PSUtility\TrayManager.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ltmoh\ltmoh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Julie\Desktop\HiJackThis\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tv2.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [TvOutSwitch] C:\Program Files\Fujitsu\DispSwitch\DispSwitchLauncher.exe
O4 - HKLM\..\Run: [PSUtility] C:\Program Files\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [SSUtility] C:\Program Files\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: *.danskebank.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {1B77DC8B-0BCF-4669-ACA1-EBCAD4524D10} (HAIRTOOLS.Salon) - https://hairtools.dk/salon/hairtools.cab
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} -
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxce_device -  - C:\Windows\system32\lxcecoms.exe
O23 - Service: PowerSavingUtilityService - FUJITSU LIMITED - C:\Program Files\Fujitsu\PSUtility\PSUService.exe
O23 - Service: WirelessSelectorService - Unknown owner - C:\Program Files\Fujitsu\WirelessSelector\WSUService.exe

--
End of file - 6295 bytes

Med CCleaner - Værktøjer - Opstart -> Disable / Fjern ->

[SSUtility]

samt i oprydnings tegn:
[QuickTime Task]
[iTunesHelper]
[Adobe Reader Speed Launcher]

---

Afinstall:
* Apple Mobile Device
* Bonjour-tjeneste (Bonjour Service)
* iPod-tjeneste (iPod Service)

---

Eftercheck iøvrigt her ->
http://kundeservice.tdc.dk/testcenter/

Med CCleaner - Værktøjer - Opstart -> Disable / Fjern ->

Menes at du starter CCleaner og i CCleaner går du i Værktøjer - Opstart -> Disable / Fjern

jeg kan i CCLeaner vælge:
Aktiver
DEaktiver
Slet element

Med Disable/Fjern menes der så Slet element?

I oprydingens tegn? Betyder det også slet element eller bare deaktiver?

Afinstall? Er det i kontrolpanel jeg skal ind?

nej afinstall, er vel også bare  CCleaner? har funde det.

Under afinstall kan jeg ikke finde "Ipod-tjeneste".

Men jeg forstår stadig ikke rigtigt. Omkring blokering af startprogrammer. Hvad skal jeg gøre, for at det i #42 ikke bliver blokeret, samt de andre ting i Blokerede startprogrammer?
Skal det gøres via CCleaner?

Ved siden af adresse baren, er der nu kommet et ny felt:
"Kompabilitesvisning: websteder, der er designet til ldre browsere, vil ofte se bedre ud, og problemer med forkert placerede menuer, billeder eller tekst til bliver rettet."
Skal jeg gøre noget ved det?

Så lige meget med denne "Ipod-tjenste" ...

---

HAR du gennemført første del af #49 ?

---

Det skal du ikke gøre noget ved ...

I #49 skriver du:

Med CCleaner - Værktøjer - Opstart -> Disable / Fjern ->

[SSUtility]

samt i oprydnings tegn:
[QuickTime Task]
[iTunesHelper]
[Adobe Reader Speed Launcher]


Jeg har sat "Deaktiver" ud fra de tre ting. Er det det du mener?

{SSUtility] ved jeg ikke helt hvor jeg skal finde?

Jeg har afinstalleret de to ting, men som sagt ikke "Ipod-tjeneste".

Men jeg mangler stadig at vide, hvordan jeg kan gøre så Windows ikke blokerer for nogle startprogrammer. Bla. det i #42 nævnte problem.

Nu har jeg aldrig oplevet nævnte ...Windows ikke blokerer for nogle startprogrammer... og at du tilsyneladende ikke kan få lov til at godkende dem ? ... men jeg kan hverken blokere eller godkende... ...

(Andre i denne tråd ?)

Jeg ved ikke om det er mig, der ikke gør det rigtigt, men hvor skulle jeg kunne vlge at det ikke bliver blokeret?

Der hvor jeg ser er i Windows Defender. Her kan jeg se de startprogrammer der står som "ikke klassificeret". Det er alle ting noget der står under Fuistsu Limited, og så en ting der står under Agere Systems.

Det er lidt svrt for mig at forklare, så jeg ville gerne ligge skærmprint op af det, men jeg ved ikke hvordan jeg gør det.

Vedr. Fujitsu, shock sensor: http://www.pc-ap.fujitsu.com/support/faq_lb/general/faq_system.html

DEt hjalp ihvertfald mod Fujitsu shock sensor problemet..jeg får stadig en lille hvis pop-up omkring blokerede startprogrammer, men det er ikke noget problem.

Jeg er meget taknemmelig for hjælpen. MANGE tak.
Hvordan giver jeg pointene?

Siden jeg skrev sidste indlæg, hvilket var lige efter jeg var på
http://www.pc-ap.fujitsu.com/support/faq_lb/general/faq_system.html

og kørte opdateringen derfra, har computeren to gange pludselig fået helt lyseblå skærm med hvid skrift, hvor der står noget med windows problem om computeren må lukke ned. Når man starter op igen, virker det som om der ingen problemer er, indtil den pludselig gør det samme igen.
Hvad kan det skyldes?

Jeg har fundet ud af at det er hver gang jeg løfter computeren, så mon det har noget det med shock sensor at gøre? Hjælp!!

De første to gange computeren lukkede ned, gik det så stærkt at jeg ikke kunne nå at læse alt der stod, men 3. gang, gik computeren ikke videre, så jeg skrev ned hvad der stod:




A problem has been detected and windows has been shut down tp prevent damage to your computer.

If this is the first time you've seen this screen, restart the computer. If this screen appears again, follow these steps:

Check to be sure, you have adequate disk space. If a driver is identified in the stop message, disable the driver or check with manufacturer for driver updates. Try changing video adaptors.

Check with your hardware vendor for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use safe mode to remove or disable components, restart your computer, press F8 to select Advanced startup Options, and then select safe mode.

Technical information:

*** STOP: 0x0000007E (0xCoooooo5, 0x0C4F8B24, 0x088941C40, 0x08894193C)

Collecting data for crash dump ...
Initializing disk for crash dump ...
Beginning dump physical momory.
Dumping physical memory to disk: 100
Physical memory dump complete.
Contact your system admin or technical support group for further assistance.

Det kan godt tyde på det er shock sensor der driller...

Prøv at fjerne programmet helt og kør uden - hvordan kører den så?

vil det give problemer med andre ting hvis jeg afinstallerer? Jeg mener hvorfor er det i det hele taget på computeren? Skal det hjælpe mod rystelser eller?

Jeg prøver at afinstallere.

Det ser ud til at have hjulpet, har ihvertfald ikke oplevet problemet siden.

Hvordan får jeg givet pointene?

... det vil ikke hjælpe mod 'rystelser' men beskytte evt. HD fejl pga. 'rystelser' ... altså den rent mekanisk låser hvis der konstateres 'rystelser' ...

---

Jeg har på tidligere job afinstall den. Der skulle PC'erne bruges til Videoredigering i en bil under kørsel (nej ikke chauføren). Der gik det op i 'hat og briller' hvis denne AntiShake ting reagerede hele tiden...

Ping...
(Det var et [svar]...)

Mange tak for alt hjælpen.

Takker for Point...