mulig virus/spyware (hijack log)

Logfile of HijackThis v1.99.1
Scan saved at 13:44:51, on 11-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\MXOALDR.EXE
C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\MessengerPlus! 3\MsgPlus.exe
C:\Programmer\SPAMfighter\SFAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Maxtor\OneTouch\utils\Onetouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.edbpriser.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.edbpriser.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series (kopi 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P32 "EPSON Stylus C64 Series (kopi 1)" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmer\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MXOBG] C:\Documents and Settings\Thomas\Lokale indstillinger\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programmer\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.dk/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp08.photoprintit.de/microsite/3601/defaults/activex/ImageUploader3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Programmer\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe

Din log ser ren ud.

Du kan jo prøve at scanne din externe disk for fejl - det kan skyldes sectorfejl.

øhm.. nva.. jeg synes nu ikke den ser ren ud..

afinstaller msn plus...

Delte meninger om denne [MessengerPlus3] -> http://www.eksperten.dk/spm/528544

ja du har ret.. :D

Men har du lagt mærke til at msn plus er i 020'erne i HijackThis loggen.. der hvor meget få "gode" programmer gemmer sig.. :D

men du har helt ret ved denne.. ;)

ja har hørt det med msn, problemet er bare at jeg skriver med min søn på msn, og har ikke rigtigt noget alternativ, skal lige siges at det ikke er en externharddisk.

(SKAL det så lige absolut være via [MessengerPlus3] programmet?)

Uanset om det er en intern eller extern harddisk bør du scanne den for fejl. Mht. msgplus er jeg klar over de delte meninger og vil ikke bare sige at folk skal afinstallere den - men den bør i hvert fald aldrig installeres med accept af sponsor-programmer.

MSG+ fører ofte skidt med sig, men i dette tilfælde ser det ud til at brugeren har fravalgt sponsor-programmet -- der er i hvert fald ingen tegn på det snavs, som følger med MSG+. Loggen er derfor ren.

Men driveren ligger et mærkeligt sted:
O4 - HKLM\..\Run: [MXOBG] C:\Documents and Settings\Thomas\Lokale indstillinger\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE

det kunne tyde på, at den ikke er ordentligt installeret. Prøv midlertidigt at deaktivere denne entry, og se om det hjælper noget? Du deaktiverer den ved at klikke start-kør, skrive msconfig, klikke ok, vælge fanebladet Start, og så fjerne fluebenet ud for MXOBG. Genstart, og accepter ændringen i opstartsproceduren.

Hjælper det? Ellers skal du gå ind og sætte fluebenet igen.

Hvis det ikke hjælper, ville jeg også lave en grundig scanning af harddisken, hvor du får checket den fysiske overflade. Det er ikke usædvanligt at man køber en ny HD på, hvor der er fejl.

har tjekket det du siger der er ikke noget der hedder mxobg ? der er mxoaldr den er der til gengæld 2 gange. scanne harddisken skal jeg bare bruge windows værktøjer til det ??

For at fejlsøge HD: Åbn stifinder, højreklik på det syge drev, og vælg egenskaber. Vælg fanebladet funktioner, og klik på "Undersøg nu" ved Status for fejlsøgning. Sæt flueben i Søg/genopret beskadigede sektorer, og klik på start.

er gjort, den skrev ikke noget da den var færdig = ingen fejl ?

Det vil jeg tro. Så har jeg ikke andre bud, end at du kan prøve at nyinstallere harddisken.

Jeg er ikke ekspert på det område, men ved da, at normalt når man sætter en ny HD i computeren, burde det ikke medføre entries i en HJT-log. Men det kan jo være, at der gælder nogle særlige forhold for den HD, som du bruger. Du kan derfor, inden du geninstallerer, prøve følgende: Kør HJT, sæt flueben ud for følgende entries, og klik på fix checked:
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [MXOBG] C:\Documents and Settings\Thomas\Lokale indstillinger\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programmer\Maxtor\OneTouch\utils\Onetouch.exe

Genstart herefter, og se om det har hjulpet. Hvis det ikke har det, kan du restore dem igen, ved at starte HJT, vælge Misc Tools, klikke på backups, markere de 3 ovennævnte entries, og klikke på Restore.

Hvis det ovenstående ikke virkede, kan du starte med at afinstallere hd (inde i kontrolpanel-tilføj/fjern prog), genstarte, og geninstallere.

(Status?)

http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=haasum1&spm_part=&spm_answer=&find=&engine=exp ???

ja ja rolig nu der er nogle der også må passe et job en gang i mellem.
status er ingen forskel eller forbedring.

hvorfor bliver i ved med at skrive om min maxtor disk ?

Grunden til at jeg skriver om Maxtor-disken er, at jeg kan se, at der ligger nogle drivere hertil i din HJT-log, og så antog jeg, at det kunne være dem der var problemet. Jeg kan ikke se, at du noget sted har skrevet, at det IKKE er din maxtor-disk, der er problemet...

maxtor onetouch er en usb disk, det er ikke den der er problemer med.

Ok, men i hvert fald er der ingen grund til at tro at dit problem skyldes spyware. Hvis du vil være helt sikker kan du prøve at tage et par scanninger med disse all-round scannere. Hvis ikke de finder noget, synes jeg dig skal lukke dette spørgsmål, og så oprette et nyt ovre i hardware-sektionen (hvor du gør opmærksom på denne tråd -- så de kan se, hvad der har været forsøgt). *S*

Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

Download og gem denne scanner på skrivebordet. http://www.spywareinfo.dk/download/mwav.exe

Genstart til fejlsikret tilstand.
Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files. Klik på scan clean. Når scanneren er færdig med at scanne, så kopier indholdet af vinduet "Virus Log Information" herind (marker det, og tast ctrl-c)

kan faktisk ikke huske om det virkede :-(