Vil i tjekke denne hijackthis

Hej ravnemor

Umiddelbar ikke noget 'mistænkeligt' ifølge Loggen.
Men du ka' jo gennemføre proceduren her ->
http://www.eksperten.dk/artikler/954

Dr1: Jeg tror lige du skal kigge igen:
http://www.castlecops.com/lsp-175.html
;-)

Jeps - du har ret - jeg har ikke haft nogle (i nyere tid) under "Winsock LSP" delen...

Her er en længere procedure - du må hellerer skrive den ud da Internetforbindelse måske tabes undervejs...

Hent de her to programmer:
http://cexx.org/lspfix.htm - http://cexx.org/lspfix.zip
http://www.bleepingcomputer.com/forums/index.php?showtutorial=59 - Vejledning.
http://danborg.org/spy/Newnet/winsockxpfix.exe - Winsockfix.
---------------------------------------
Download og gem denne scanner på skrivebordet. Du skal ikke aktivere den endnu.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Kig denne vejledning grundigt igennem.
http://fromsej.dk/Vejledninger/html/drweb.html
---------------------------------------
Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll (Alle linierne)

---------------------------------------
Genstart i Fejlsikker tilstand ([F8] under opstart]

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.
---------------------------------------
Genstart normalt, tjek om der er internetforbindelse, ellers gør følgende:
Kør først LSPfix, marker rlls.dll i venstre vindue, klik på pilen i midten, så rlls.dll også står i højre vindue, sæt flueben i I know what I am doing, klik på finish, genstart så burde det virke.
Gør det ikke det, så prøv det andet program, klik først på Reg-backup, og gem en kopi af din regdatabase, når det er slut klik på Fix, når den er færdig genstart og så skulle du gerne kunne komme på nettet igen.
---------------------------------------
Genstart normalt og kom med en frisk Hijackthislog.

NB: Inden næste kørsel med HiJackThis.exe skal du OMDØBE programfilen HiJackThis.exe til ALTERNATIV.exe , da visse uønskede elmenter har en tendens til at skjule sig når der kører en process ved navn HiJackThis.exe !!!

Så nåede jeg dertil hvor jeg skulle scanne med drweb, og det tog lige for lang tid nu. Den fortsætter jeg lige med imorgen. Har i en ide om hvor lang tid jeg skal regne med det tager. Helt ude til venstre nederst står der ca 145.000. Er det antallet af filer den skal op på ? Den tæller jo opad ved siden af.

De linier med 010 er i hvert fald væk nu.

Åhhhh, nu har den scannet i 4-5 timer, og jeg kan ikke finde den drweb32w.log ved søgning. Kan det være fordi jeg ikke scannede i fejlsikret tilstand idag ?

Jeg gik dog i file - save report... og gemte filen på skrivebordet, omdøbte til log, og den får i en kopi af her:

Cliprex_WhenUSave_InstallerInst.#xe;D:\Documents and Settings\Smukke\Lokale indstillinger\Temp;Adware.SaveNow;Renamed.;
backup-20060829-195524-204.dll;D:\Programmer\Hijackthis\backups;Adware.Msearch;Renamed.;
backup-20060829-195524-738.dll;D:\Programmer\Hijackthis\backups;Adware.MWS;Renamed.;
riched20.dll;D:\Programmer\MSN Messenger;Adware.Msearch;Renamed.;
A0033818.dll;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP375;Trojan.Iespy;Deleted.;
A0033848.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP375;Trojan.Funweb;Deleted.;
A0034243.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034245.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Trojan.Isbar.438;Deleted.;
A0034248.SCR;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034249.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034250.EXE;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034251.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Trojan.DownLoader.7028;Deleted.;
A0034253.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034256.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.MWS;Renamed.;
A0034258.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034262.EXE;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Websearch;Renamed.;
A0034263.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Websearch;Renamed.;
A0034265.DLL;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP384;Adware.Msearch;Renamed.;
A0034914.dll;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP404;Program.ProxyOSS;Renamed.;
A0035550.dll;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP416;Adware.Msearch;Renamed.;
A0035551.dll;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP416;Adware.MWS;Renamed.;
A0035554.dll;D:\System Volume Information\_restore{91AD2DB8-4F2E-4EDD-AA1D-1CABF00A427D}\RP416;Adware.Msearch;Renamed.;

Kan den bruges i stedet for ?

Jeg tog dog dette screenshot
http://www.klojs.dk/drweb.jpg

Det ser fornuftigt ud med Dr.Web. For lige at få en status på computeren bør du også lave en log med den omdøbte version af Hijackthis, som Dr1 skrev ovenfor.

Så er den her, kommer lige i tanke om at jeg installerede digital camera igår, men går ikke ud fra det har gjort nogen skade.

Logfile of HijackThis v1.99.1
Scan saved at 21:10:56, on 04-10-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programmer\HP\HP Software Update\HPWuSchd2.exe
D:\Programmer\HP\hpcoretech\hpcmpmgr.exe
D:\Programmer\Spamihilator\spamihilator.exe
D:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programmer\Logitech\SetPoint\KEM.exe
D:\Programmer\TrayIt\trayit!.exe
D:\Programmer\Logitech\SetPoint\KHALMNPR.EXE
D:\Programmer\HP\Digital Imaging\bin\hpqimzone.exe
D:\Programmer\Outlook Express\msimn.exe
D:\Programmer\MSN Messenger\msnmsgr.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmer\alternativ\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HP Software Update] D:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "D:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [Spamihilator] "D:\Programmer\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [DVDXGhost] D:\Programmer\DVD Ghost\DVDGhost.EXE
O4 - Startup: TrayIt!.lnk = D:\Programmer\TrayIt\trayit!.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Hurtig start.lnk = D:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programmer\Logitech\SetPoint\KEM.exe
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://opdatering.tdc.dk/csp/authenticode/tdccsp-0506.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

Ren log ;-)

Råd til at holde den ren kan du finde på disse links:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://www.ejvindh.net/viewtopic.php?t=37

Vil i dele point ? Så må i begge lægge et svar.

Lyder som en fornuftig løsning. Svar fra mig :-)

Ping...

(Det var et [svar]...)

Du bør rense temp med denne fil, det tager kun få sek.
http://www.spywareinfo.dk/download/cleantempxp2k.bat

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelsesfilerne.
Deaktiver systemgendannelse -> http://www.spywareinfo.dk/#/tip-og-tricks/deaktiver_systemgendannelse.htm
Genstart din computer - aktiver systemgendannelse. Dette gøres samme sted, hvor du deaktiverede, denne gang skal du blot aktivere.
Det vil også være en god idé manuelt at oprette et nyt punkt, som du kan navngive, og vende tilbage til, hvis du skulle få problemer af nogen art.

Safe Surfing...