Tjeck af HJT log

Jeg vil da gerne se på den. Måske skulle du lige prøve at poste igen :-)

hehe, den kommer om et øjeblik, er lige igang med at køre eScan antivirus toolkit :) men lige 5 minutter :) og tak for det..

Logfile of HijackThis v1.99.0
Scan saved at 11:34:31, on 15-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Program Files\Winamp\Winamp.exe
C:\DOCUME~1\LundI\LOCALS~1\TEMPOR~1\Content.IE5\KTIVS9UB\l\mwavscan.com
C:\DOCUME~1\LundI\LOCALS~1\TEMPOR~1\Content.IE5\KTIVS9UB\l\kavss.exe
C:\WINDOWS\system\mssecure.exe
C:\Documents and Settings\LundI\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eb.dk/
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\PROGRA~1\SPYBOT~1\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYDK
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104345515013
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Ser på den...

ok :)

Fix:
C:\WINDOWS\system\mssecure.exe
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKLM\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYDK

Du skal selvfølgelig genstarte herefter og smide en ny log ind levich lige kan se om de er forsvundet eller ej.

kalp -> korrekt. Det regner jeg med at lundemann har styr på, han er jo ikke nybegynder inden for computere kan jeg se ud fra hans profil her på eksperten.

levich:> okay.. men betyder ikke nødvendigvis han ved alt om hijackthis:) http://www.eksperten.dk/spm/579983 ser man aldrig en log fx.

<lundemann> skal også lige have 'sangen' om WindowsUpdate SP1/SP2 ...

I glemmer denne entry:
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe

Den skal også fixes.
http://startup.iamnotageek.com/srch-lsvchost.exe.html

ejvindh>> Du men endelig ikke sige vi:) Det er netop af den grund jeg gør spørgeren opmærksom på at han skal komme med en ny log og så kunne det jo være levich ville opdage den i anden omgang før jeg blandede. (ellers forvirre vi spørgeren som levich siger:))

Det er ikke en eksakt videnskab, men jeg er sikkert på at jeg nok skal få dit windows til at virke lundemann. Som regel skal der gøres forskellige ting af flere omgange.

Fix:
C:\WINDOWS\system\mssecure.exe
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYDK

Bagefter send i ny log herind, og fortæl om din computer virker som den skal.

Kalp: Alt i orden.

Iøvrigt Levich: Jeg har før set at du skriver at man skal fixe nogle af de programmer der står i Running processes (første linie i din vejledning ovenfor). Hvis du mener at processen skal afsluttes, tror jeg det vil være en fordel at skrive proceduren herfor lidt mere grundigt. I hvert fald kan man ikke "fixe" disse processer i hovedvinduet på HJT, idet de slet ikke fremkommer her.

Hvis jeg nu fremover henviser til billede nummer tre på denne side http://www.spywarefri.dk/hijackthis.man.htm, ville det så være en bedre service end blot at skrive "fix disse linjer"?

Levich: Som jeg ser det, er selve "fix disse linjer" sådan set ok. Det jeg tænker på er når du ovenfor fx angiver at lundemann skal fixe denne linie:
C:\WINDOWS\system\mssecure.exe

Som du kan se på det billede du henviser til, så starter alle linier der kan fixes med Rx, Fx, Nx, Ox. Det er rigtigt at vi gerne skulle ende med at den linie ikke er i loggen, men det skal typisk ordnes ved at man fjerner en O4-entry (som du jo også i dette tilfælde fra starten har haft med :-))

Hvis man skulle "fixe" den linie jeg her taler om i HJT direkte, ville man vel skulle ind i Config-Open Process Manager og så i gang med at "kill processes". Men det er jo ofte slet ikke nødvendigt.

Så min pointe er nok bare, at jeg synes du skal udelade den linie. Hvis processen viser sig at spærre for rensningen vil man ofte bare prøve at fixe fra fejlsikker tilstand. :-)

Lundemann: Iøvrigt, så er jeg også overbevist om at Levich nok skal få dig igennem. Det har han gjort mange gange før. Det her er bare en diskussion af hvordan man bedst vejleder brugeren -- ikke om hvilke ting der skal gøres på din computer :-)

ejvindh -> jeg kan godt se din pointe.

lundemann -> hvordan går det?

???