---

Har virus eller tonjanhors.
alert.dk hjælper ikke.
Her er min log fra hijackthis:
LOG:

Logfile of HijackThis v1.98.2
Scan saved at 00:38:24, on 17-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
E:\Installz\Programmer\Norton\Norton Utilities\NPROTECT.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
E:\Installz\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system\csrss.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Administrator\Skrivebord\Computer fix\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = by Philip K
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Installz\Programmer\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Installz\Programmer\Norton\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [POINTER] C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FriendlyType] C:\WINDOWS\system\csrss.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

---

Download Stinger her http://vil.nai.com/vil/stinger/

---

Jeg vil foreslå at du opretter en profil på www.eksperten.dk - her kan du få rigtig god hjælp - det er rene edb spørgsmål.

---

fh1dk hvorfor holder du dig ikke bare på Eksperten hvis den er så suveræn, men du skulle måske lige ind på Kandu og lære lidt

---

Jeg vil mene, at problemet ligger her: O4 - HKLM\..\Run: [FriendlyType] C:\WINDOWS\system\csrss.exe
Den fil har ikke noget at gøre der så det må være en unfriendly.

---

...og hvad med deamon.exe ???

http://www.2-spyware.com/file-daemon-exe.html

</MOLOKYLE>

---

Start - Kør -skriv regedit - OK
Følg stien: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Genstart
Find og slet: C:\WINDOWS\system\csrss.exe

eller vent på en hijackthis log specialist

Jeg syntes for øvrigt heller ikke at D-tools er noget at slæbe på da den slags programmer er en potentiel risiko.

---

Kandu serveren driller så nu mangler der en linie efter:
Følg stien: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der skulle stå, højreklik på csrss.exe og slet nøglen
Genstart osv.

---

Problemet med denne virus er at den er svær at fjerne. F.eks popper den op igen 3 sekunder efter man har fjernet den i joblisten, og den gendanner osse reg nøgler lynhurtigt!

---

vis den ligger i>
C:\WINDOWS\system32\csrss.exe
og i>
C:\WINDOWS\ServicePackFiles\i386\csrss.exe
så er det en system fil>
Client Server Runtime Process,og starter auto med windows.
Manse9933

---

fil beskyttelse,gendanner den vis den bliver slettet,når det er en system fil

---

Den ligger jo ikke i System32, men i System og den ægte er heller ikke normalt med i startnøglerne

---

den ægte er heller ikke normalt med i startnøglerne,jo i mit system(netværk),men jeg ser først nu at den ligger i C:\WINDOWS\system\csrss.exe og det er rigtigt der høre den ikke hjemme,det kan være den er på udflugt,nok desværre med rygsæk
Manse9933

---

Øh forvirring? Startnøgler burde den ikke ligge i, men som en proces i Windows jobliste, jo! Den skal ligge i system32 mappen, og ikke i systemmappen! Er vi enige?

---

JA!

---

Bare lige for at sætte tingene på plads inden onetime kommer forvirret ind

---

Tedd, hvis du har ret i det med, at den gendanner nøgler mm. hurtigt så har den en "moderfil", som gør det og til den slags har jeg før haft succes med at køre Spybot S&D, efterfulgt af Stinger, som du foreslog. ??

---

Stinger kan ihvertilfald identificere den! Tvivler på Spybot kan, med mindre der er kommet en update!

---

Hvad jeg mener er,den ligger som en tjeneste der starter med windows.
Manse9933

---

Tak for svaret BjarneD.
                        

---

Det indlæg du godkendte som svar kunne vist godt undværes, men fik du løst dit problem?
Andre kunne måske tænke sig at vide hvad der hjalp dig for det var vel ikke det indlæg
Hilsen
Bjarne

---

Ja, det var vist en fejl de point der. Fik min hjælp på www.eksperten.dk der var en log ekspert der hjalp mig...

---

Sådan nogen er der også på Kandu og du får let kontakt med dem når du opretter spørgsmålet i kategorien Sikkerhed. Desuden kunne vi godt løse dit problem hvis bare du havde meldt tilbage, men det er ikke let at hjælpe en der ikke selv deltager i spørgsmålet.

Du skal være velkommen en anden gang her på Kandu hvor "eksperterne" dækker meget bredere, men husk at deltage lidt i løsningen af spørgsmålet da problemet jo er dit.
Hilsen
Bjarne

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.