---

En af mine venners pc er pænt fucke'd vi skal formattere den iaften. Den kan ikke åbne EXE filer, så jeg kan ikke ligge noget ind på den for at fjerne Spy-waren eller Virussen... Og når man kikker i Processor i joblisten kan man ikke se noget der skulle tage 70% af systemets recurser... Nogle der ved hvad der KAN være galt, og hvordan man evt. fjerner det program der spasser up!? som man ikke kan se...

200pt til det rigtige svar :)

---

Hent en hijackthis : http://www.arlet.dk/hjt.htm

og kopier loggen herind, så kan vi se hvad vi er oppe imod..

---

Hvis du ikke kan hente hijackthis pga det er en exe fil, så prøv dette fix først..

Hent dette fix og kør det: http://www.kellys-korner-xp.com/regs_edits/exefix.reg

prøv så at hente hijackthis..

---

nu er du kommet i gode hænder torbenvinter

---

Okay... :P Jeg prøver lige at ringe til ham vennen ;) det er jo hans pc, jeg skal om til ham om nogle timer :) poster om 5 min ca..

---

Logfile of HijackThis v1.99.0
Scan saved at 17:59:09, on 18-02-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Brogi\Skrivebord\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vyhejgxezvm.net/wH4mJWwtq1AFZhz0UWnwvmkYETPKe7a_j2/gDxhYC0Mq_KbtsjDTNWhFI2J1oaez.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E140A1B-2861-E07C-35E1-158A9696E44E} - C:\DOCUME~1\Brogi\APPLIC~1\idleheck\windvd.exe
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FLLESF~1\Real\Toolbar\realbar.dll
O2 - BHO: save second - {7708C41C-0AA8-3AB3-4E8E-0BCB14067937} - C:\PROGRA~1\idleheck\Army web.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FLLESF~1\Real\Toolbar\realbar.dll
O3 - Toolbar: LIVE ITCH WMA - {76727DEA-53F2-9361-1F86-E10D012F307C} - C:\PROGRA~1\idleheck\Army web.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [ICQ Hacking Pro] c:\icqpro.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Four Rdr] C:\DOCUME~1\Brogi\APPLIC~1\BALLJU~1\sixth dash first.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Genvej til winampa.lnk = C:\Programmer\Winamp\winampa.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=ebad2702c568e00d38977aaed349eb6d8b5ded5f4599a3a1643e1544827252b54708766303f68f8b0c412925ea9a303c5849efc2850ccc977f1dbf:e70f0bcb61c6285b31f87d95597ecf13
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} - http://www.quikshield.com/qshsetup.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

Here you go guys =)

---

Hvis du skal formatere den i aften, hvorfor så havde alt det besvær, også for Arlet.
Hvorfor ikke bare boote den op med win CDèn og lave nyinstallation, så formateres alt jo på harddisken.
VH Palle Hansen

---

Fordi den skal tømmes for vigtige ting, og den kan ikke engang køre brænderprogram uden at crashe... DERFOR!! :)
Og hvis vi kan slippe for at formattere så vil det være SUPER dejligt...

---

Jeg tjekker den nu.

Når vi er færdige, kommer den til at køre vænsentligt bedre, det er sikkert..

---

Hent og kør CWSHredder herfra: http://www.arlet.dk/special.htm
genstart

Du skal nu til at i gang med at fixe:

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vyhejgxezvm.net/wH4mJWwtq1AFZhz0UWnwvmkYETPKe7a_j2/gDxhYC0Mq_Kb tsjDTNWhFI2J1oaez.html

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe(denne skal kun fixes, hvis du IKKE bruger din computer som server)

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

O2 - BHO: (no name) - {0E140A1B-2861-E07C-35E1-158A9696E44E} - C:\DOCUME~1\Brogi\APPLIC~1\idleheck\windvd.exe
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FLLESF~1\Real\Toolbar\realbar.dll
O2 - BHO: save second - {7708C41C-0AA8-3AB3-4E8E-0BCB14067937} - C:\PROGRA~1\idleheck\Army web.dll (file missing)

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FLLESF~1\Real\Toolbar\realbar.dll
O3 - Toolbar: LIVE ITCH WMA - {76727DEA-53F2-9361-1F86-E10D012F307C} - C:\PROGRA~1\idleheck\Army web.dll (file missing)

O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\RunServices: [ICQ Hacking Pro] c:\icqpro.exe
O4 - HKCU\..\Run: [Four Rdr] C:\DOCUME~1\Brogi\APPLIC~1\BALLJU~1\sixth dash first.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=ebad2702c568e00d38977aa ed349eb6d8b5ded5f4599a3a1643e1544827252b54708766303f68f8b0c412925ea9a303c5 849efc2850ccc977f1dbf:e70f0bcb61c6285b31f87d95597ecf13
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)


--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet manuelt i fejlsikret(f8 ved opstart):


C:\Program Files\Windows TaskAd<- hele mappen
c:\icqpro.exe
C:\DOCUME~1\Brogi\APPLIC~1\BALLJU~1\sixth dash first.exe
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe



------------------------------------------------

Hent og kør spybot herfra: http://www.arlet.dk/spywarescanner.htm
scan hele computeren og slet alt hvad den finder

----------------------------------------------------------

Hent og kør denne scanner fra Kaspersky : http://www.spywareinfo.dk/download/mwav.exe
Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files
Og så trykker du på Scan Clean

----------------------------------------------------------

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

---

Mange tak arlet :) 200pt til dig

---

Jeg vil meget gerne se en ny log fra dig, så vi er sikker på at alt snavs er væk..

---

Jeg kan ikke åbne programmerne hjt og CWSHredder...?!
Hvad gør jeg?

---

..................?

---

Jamen du har da åbnet hjt, da du lavede loggen..

Har du prøvet mit link til det exe fix??

---

jeps.. men nu virker det ikke igen... :S

---

Du kan da køre hjt i fejlsikker tilstand, ved at trykke F8 ved opstart.
VH Palle Hansen

---

tjaah kikker på lortet imorgen... nat drenge ..!

---

Tak for svaret arlet.
                        

---

har formatteret nu!

---

Okay..

Så er du i hvert fald ren nu..

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Meget vigtigt:
Hent og installer Sp1 eller Sp2 til Windows og IE her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.