kan nit titta o se om något tokigt finns

[sussisue]

hej kan ni kolla den logen

 

 

[log]Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\BackWeb\7681197\PROGRAM\SERVIC~1.EXE

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BACKWE~1.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FSGK32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\Common\FIH32.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\Creative\ShareDLL\CtNotify.exe

C:\Program\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\Program\Creative\SBLive\Program\CTAvTray.EXE

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\rmctrl.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\rundll32.exe

C:\Program\Creative\ShareDLL\MediaDet.Exe

C:\Program\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\WinRAR\WinRAR.exe

C:\DOCUME~1\Susanne\LOKALA~1\Temp\Rar$EX00.516\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ic.comhem.se/publik/www/portal/all

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.comhem.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Program\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [AHQInit] C:\Program\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [CTAvTray] C:\Program\Creative\SBLive\Program\CTAvTray.EXE

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI

O4 - HKCU\..\Run: [incrediMail] C:\Program\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeper.exe" /0

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://lnknsr03.gbgsd.se/qp2.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.shockwave.com/content/tumblebugs/axhost.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.247.228.34/activex/AxisCamControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O23 - Service: FS BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\PROGRAM\SERVIC~1.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe[/log]

 

 

mvh sussi

 

[Cecilia]

Ser inget otrevligt i loggen.

Något problem?

 

[sussisue]

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ic.comhem.se/publik/www/portal/all

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.comhem.se

 

det jag undrar ska det finnas 2 starsidor?

 

mv sussi

 

[Cecilia]

Du har kanske haft den ena förut och den andra nu?

 

[/Thomas]

Hej sussisue!

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

= inloggad användares startsida

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

"datorspecifik" startsida!!!

 

Det kan verka konstigt då ingen "surfar" som "datorn" men faktum är att det finns ett registervärde som gör att man kan tvinga alla användare att ha samma Internet Explorerinställningar...

Som då alltid får denna startsida osv...

 

Inget konstigt alls!

 

:0)

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

[/Thomas]

Hej sussisue!

 

Om du inte specifik vet att du använder denna funktion, ta då bort den:

 

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

 

samma med denna:

 

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://lnknsr03.gbgsd.se/qp2.cab

 

Men därutöver så ger jag följande tips:

 

Se till att konfigurera virusskyddet korrekt, så att såväl realtidsavsökningen som den manuella avsökningen =

 

1: Avsök ALLA FILER (FilTyper)

2: Primär åtgärd = Ta Bort (radera) smittad fil

3: Sekundär åtgärd = Ta Bort (Radera) smittad fil..

4: Aktivera avsökning av Komprimerade filer

(Om du har många eller mycket stora komprimerade filer, inaktivera då realtidsavsökningen av komprimerade filer för att minska belastningen)

 

Notera! Den sekundära åtgärden tas till när den 1:a inte lyckats, oftast pga. att den smittade filen hålls låst av något program som förhindrar den primära åtgärden varvid den sekundära griper in så snart programmet släppt greppet.

Att starta datorn i felsäkert läge, gör att datorn startar med minimala uppstartsalternativ, vilket i de flesta fall innebär att smittor inte hålls öppna, utan kan åtgärdas med den primära åtgärden!

 

Anledningen till att man ALLTID har alternativet "Ta bort" (Radera) inställt är att man, nu när man har kontrollerat att datorn inte har smittade filer, helt enkelt inte vill ha in nya smittade filer till hårddisken/datorn. En ny

(framtida) smitta raderas INNAN den hunnit exekveras eller sparas i datorn!

 

Hjälp med HUR du ändrar konfigurerigen finns säkert i manualer/hjälpen till ditt virusskydd. Om ej Kolla på deras webbplats alt. kontakta supporten!

 

Tänk på att det bästa skyddet mot smittor är att alltid logga in med användar-behörighet dvs. INTE vara medlem i gruppen administratörer!. (Administratörsbehörighet används endast vid ev. installation/konfiguration ALDRIG annars!) Det konto du skapar under installationen av XP har Administrativa behörigheter. Ändra alltid det så snart ni installerat alla program och spel!

 

Varför? Det är så att huvudelen av dagens smittor utnyttjar inloggad användares behörigheter, vilket innebär att en smitta som exekveras när en användare är inloggad som Administratör "Ärver" användarens behörighet att "installera Vad som helst, Hur som helst". Utan denna behörighet kan inte smittorna "spara sig" till datorn, vilket innebär att

de i värsta fall endast körs fram till nästa omstart.. No more!!

 

Lycka till!

 

:0)

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

 

[Cecilia]

Om du inte specifik vet att du använder denna funktion, ta då bort den:

 

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

För att lite lättare veta om det är ett program du använder så läs det här:

http://www.bleepingcomputer.com/startups/rmctrl.exe-4519.html

 

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://lnknsr03.gbgsd.se/qp2.cab

http://castlecops.com/atxlist-349.html