Hijackthis log..

ja, øjeblik.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent http://downloads.stevengould.org/cleanup/CleanUp40.exe
Læs vejledningen til Cleanup her: http://www.bleepingcomputer.com/forums/tutorial93.html

Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

Hent og udpak Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Hent http://www.cexx.org/LSPFix.exe.
Hvis du senere ikke kan komme på internettet, skal du køre lspfix.exe, marker "I know what I am doing" og klik på finish.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O23 - Service: DirectX Service (DirectJykw) - Unknown owner - d:\windows\system32\directx.exe (file missing)

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
d:\windows\system32\directx.exe

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt nogen tid.

(6)
Kør Cleanup. Gå til option og sæt flueben ved cookies, prefetch, temp og all users. Tryk på “cleanup”.

(7)
Start KillBox, sæt prik i "Delete on reboot", kopier nedenstående filnavn(e) til tekstfeltet i Killbox og klik herefter på den røde knap med det hvide kryds. Gentag det for alle filerne, men sig først ja til at genstarte, når du kommer til den sidste fil. Du skal genstarte i fejlsikret tilstand.

d:\windows\system32\directx.exe

(8)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(9)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(10)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Mange tak..

Skal til karneval i Aalborg i dag.. Ordner det når jeg kommer hjem..

Så har jeg gjort præcis som beskrevet.. Her er resultatet.. Tror ikke det har lykkedes mig at komme af med d:\windows\system32\directx.exe..

Logfile of HijackThis v1.99.1
Scan saved at 21:26:57, on 27-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Program Files\GlobalSCAPE\Secure FTP Server\cftpstes.exe
C:\iFtpSvc\iFtpSvc.exe
C:\iNtfySvc\intfysvc.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\ehome\ehtray.exe
D:\WINDOWS\system32\sstray.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\eHome\ehmsas.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Arto\Notifier\ArtoNotifier.exe
D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Documents and Settings\Peter\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ArtoNotifier] D:\Program Files\Arto\Notifier\ArtoNotifier.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - D:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - D:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DirectX Service (DirectJykw) - Unknown owner - d:\windows\system32\directx.exe (file missing)
O23 - Service: GlobalSCAPE Secure FTP Server - GlobalSCAPE Texas, LP - D:\Program Files\GlobalSCAPE\Secure FTP Server\cftpstes.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ipswitch WS_FTP Server (iFtpSvc) - Ipswitch, Inc.  10 Maguire Road - Suite 220 Lexington MA. - C:\iFtpSvc\iFtpSvc.exe
O23 - Service: Ipswitch Notification Server (inotifysvr) - Ipswitch, Inc.  10 Maguire Road - Suite 220 Lexington MA.  - C:\iNtfySvc\intfysvc.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Lav først at opdatere og lave en fuld scanning af alle dine harddiske med det antivirusprogram (antivir).

Opdater og scan med Spybot search and destroy. Slet linjerne med rød tekst.

Genstart computeren og se i hijackthisloggen om det hjalp.

Hvis ikke, så prøv det her: http://www.sophos.com/virusinfo/analyses/w32logpolea.html
Bemærk: Det er meget vigtigt, at du gør det rigtige her. Hvis du er i tvivl, så lad være.

Nu har jeg gjort som beskrevet..

Den nyeste opdaterede version af antivir fandt intet.
Det samme gælder med spybot..
Og Sophos Anti-Virus fandt heller ikke noget.. De keys der bliver snakket om som skulle slettet i regedit existerer heller ikke.. Selve filen directx.exe ligger heller ikke på min com.. Det eneste tegn er at Hijack stadig viser denne linje:
O23 - Service: DirectX Service (DirectJykw) - Unknown owner - d:\windows\system32\directx.exe (file missing)

Men måske er den slettet, eller?

Hvis du har gjort som i punkt (4) i min første vejledning, og du ikke kan finde filen, så er den slettet og kan ikke gøre skade. Der er sikkert en linje i registreringsdatabasen, som forsøger at loade filen, hver gang du starter computeren, hvilket er årsagen til at linjen:
O23 - Service: DirectX Service (DirectJykw) - Unknown owner - d:\windows\system32\directx.exe (file missing)
fremkommer i hijackthis.

Jeg tror, at vi er færdige med at rense din computer. Den kører normalt?

Før oplevede jeg engang i mellem at min computer låste nærmest. Jeg kunne ikke gå ind i kontrolpanelet, joblisten, denne computer osv. Når det problem opstod hjalp det hvis jeg endten genstartede eller lukkede internet explorer.. Jeg har ikke oplevet det efter rensningen, men det skete som sagt også kun nogle gange før.. Men vil sige at computeren kører normalt nu.. mange tak.. Points på vej til dig.. ;)

Lavede lige en hurtig søgning i regedit...

Den fandt en mappe ved navn DirectJykw.. Den indeholdt nogle keys der referede til d:\windows\system32\directx.exe.. Jeg tog backup og slettede den. og efter en genstart var linjen i Hijackthis væk.. Så tyder på du havde ret..

Endnu engang mange tak!

Super :-))

Jeg er ikke meget for at rådgive til at slette i registreringsdatabasen, når jeg ikke ved præcis, hvad der skal slettes. Godt at det lykkedes.

Generelt - denne RegBaseCleaner burde også kunne gøre det:
RegCleaner -> http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm (Specielt punktet [problemer]...)

Hvis der lå et program, som forhindrede linien i at blive fjernet, så var computeren jo ikke ren. Men sagen var bare, at man som regel ikke kan fixe O23-linier med Hijackthis. Man skal enten deaktivere servicen manuelt, eller fjerne den i registreringsdatabasen.