CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede zoom Praktikant
07. december 2003 - 23:15 Der er 17 kommentarer og
2 løsninger

Stadig huller hvor snavs kommer ind ?

Jeg har efter anbefaling installeret alle spywarefri´s anbefalede programmer fra deres hjemmeside men jeg får stadig lagt snavs ind på min PC. Blandt andet startside og links under foretrukne. jeg har nu kørt Hijackthis programmet og sender min logfil til gennemsyn.

Hvad kan jeg gøre mere for at undgå syware startside og links under foretrukne ?


Logfile of HijackThis v1.97.3
Scan saved at 23:09:05, on 07-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Outlook Express\msimn.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [VYADA] C:\WINDOWS\VYADA.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Documents and Settings\x\Dokumenter\Christian\PC-Sikkerhed\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A84-A92D-75504DC70727}: NameServer = 212.54.64.170,212.54.64.171
Avatar billede fromsej Praktikant
07. december 2003 - 23:19 #1
Hvilke programmer har du installeret, jeg kan ikke se Spyareguard i din log.
Avatar billede thesurfer Nybegynder
07. december 2003 - 23:23 #2
zoom> Du behøver vel ikke at have WinZip Quick Pick (WZQKPICK.EXE) kørende.. den tager bare ekstre hukommelse, og cpu ved opstart..

fromsej> Du er ikke på icq :)
Avatar billede fromsej Praktikant
07. december 2003 - 23:29 #3
Deaktiver systemgendannelse:
http://www.spywarefri.dk/virus.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://66.230.143.209/loader/dploader.cab
---------------------------------------
Kender du? Ellers fixes.
O4 - HKLM\..\Run: [VYADA] C:\WINDOWS\VYADA.exe
---------------------------------------
Slettes i fejlsikret.
C:\Programmer\ISTsvc\istsvc.exe
---------------------------------------
Genstart og kom med en ny logfil, så vi kan se om alt er med.

Thesurfer>>Nej, jeg er på vej i seng.*S*
Avatar billede zoom Praktikant
07. december 2003 - 23:29 #4
Jeg har disse:

Spywareblaster
Agnis as
Emtemp2setup
IEspyad
Spampal
SpybotSD12
Hijachthis
PopupPopper

Jeg er dog lidt i tvivl om de virker rigtigt. Skal de ligge et bestemt sted i filstrukturen for at køre optimalt ?
Avatar billede zoom Praktikant
07. december 2003 - 23:30 #5
the surfer>> Hvordan får jeg den deaktiveret jeg er ikke heltklar over hvorfor den køre !!
Avatar billede fromsej Praktikant
07. december 2003 - 23:34 #6
Den kan du stoppe i MSconfig.
Fix de par linier jeg gav dig, og kom med en logfil efter en genstart, så tager jeg den i morgen.
Avatar billede thesurfer Nybegynder
07. december 2003 - 23:41 #7
I følge http://www.reger24.de/prozesse/WZQKPICK.EXE.php :
To disable it (e.g. if you don't use it), open WinZip and choose Options > Configuration > System and uncheck the Quick Pick option.
Avatar billede zoom Praktikant
07. december 2003 - 23:42 #8
Ny log efter fix

Logfile of HijackThis v1.97.3
Scan saved at 23:41:57, on 07-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\x\Dokumenter\Christian\PC-Sikkerhed\spampal.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Documents and Settings\x\Dokumenter\Christian\PC-Sikkerhed\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A84-A92D-75504DC70727}: NameServer = 212.54.64.170,212.54.64.171
Avatar billede zoom Praktikant
07. december 2003 - 23:48 #9
Surfer: ok det er gjort...tak for rådet. Er der mere der køre forgæves så sig endelig til !!
Avatar billede thesurfer Nybegynder
07. december 2003 - 23:52 #10
Office Startup Application - "OSA.EXE"
Den skulle få Office programmerne til at starte hurtigere op.. men det er ikke noget du kan mærke.. Den bruger ekstra resourcer..
Avatar billede thesurfer Nybegynder
08. december 2003 - 00:11 #11
Det skal lige siges at jeg ikke har nogen erfaring med HijackThis logs, og ligende programmer.
Det normalt fromsej, aovergaard eller arlet der tager sig af dem.
Så slet ikke noget før det er godkendt af dem.

- WinZip Quick Pick er her stadig:
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE

- Gad vide hvorfor den her skal starte hver eneste gang du starter Windows:
Registration-Studio 8 - C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe

- Bruger du altid MSN Messenger ved startup?: msmsgs.exe
Hvis ikke, fjern den. Du kan selv køre programmet når du skal bruge det.

- C:\Programmer\ISTsvc\istsvc.exe
Ifølge http://sarc.com/avcenter/venc/data/adware.istbar.html er det Adaware:

Behavior
Adware.Istbar is an adware component, which does one or more of the following:

Installs an Internet Explorer toolbar
Acts as a Home page and search hijacker
Pops up advertisements, often pornographic in nature
---
Avatar billede aovergaard Nybegynder
08. december 2003 - 00:14 #12
Jeg er her nu, så nu skal jeg lige tjekke det hele.
Avatar billede aovergaard Nybegynder
08. december 2003 - 00:37 #13
Ja der er noget rigtig snavs tilbage. Du har deaktiveret din systemgendannelse ikke.

Disse skal fixes:

O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
Disse 3 herunder kan sagtens slettes uden det går ud over din office, men det er dit eget valg.
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


Genstart i fejlsikret tilstand find og slet:
C:\Programmer\ISTsvc\istsvc.exe

Har du selv bedt om denne her, elles så fix den.
O4 - Startup: SpamPal.lnk = C:\Documents and Settings\x\Dokumenter\Christian\PC-Sikkerhed\spampal.exe

Og så skal den også slette i fejlsikret tilstand, men kun hvis du ikke selv har bedt om den.
C:\Documents and Settings\x\Dokumenter\Christian\PC-Sikkerhed\spampal.exe

Genstart alm. Ny scanning med hijackthis, ny log herind til tjek

Mvh. Aovergaard/Team Spywarefri
Avatar billede perhaps Nybegynder
08. december 2003 - 08:06 #14
Husker du at opdatere dine programmer mod spy og hijacking? Det ser ikke ud til at de kører som de skal for ellers havde du ikke fået ist.bar. Et sikkerhedsprogram er aldrig bedre end brugeren selv gør det til. Har du spørgsmål til nogle af programmerne så spørg enten her eller hos os på Spywarefri. Vi har et indgående kendskab til programmerne.

Mvh Perhaps/Team Spywarefri
Avatar billede aovergaard Nybegynder
08. december 2003 - 19:44 #15
husk også lige at komme med en ny log, for nogle af de sidste filer jeg fixede var faktisk nogle af de slemme, og vanskelige.
Avatar billede victor-1 Nybegynder
31. januar 2004 - 13:35 #16
Undskyld, men skal her aldrig afsluttes ;o)
GO' WEEKEND
Avatar billede aovergaard Nybegynder
27. marts 2004 - 11:55 #17
takker for point:)
Avatar billede zoom Praktikant
10. maj 2004 - 14:44 #18
tak for hjælpen
Avatar billede aovergaard Nybegynder
10. maj 2004 - 20:20 #19
velbekommen, tak for point ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:57 Pinnacle videoredigering Af gerhardpet i Billedbehandling
02/0816:51 UNILOGIN i GOOGLE Af lao i Browsere
02/0810:07 Kan det gøres lettere Af densortehingst i Excel
01/0821:49 En app vækker mig om morgenen og giver en vejrudsigt - hvordan stoppe det? Af Philip Kuhlmann i Apps til Android
01/0821:28 visning af heltal som resultat efter beregning Af Brian_Skovgaard i Excel
White papers
Flere white papers »


Premium
Teaser billede
Nvidia efterforskes for brud på konkurrencelov
Læs mere »
Den store cloud-krig raser stadigvæk - og Amazon ser lige nu ud til at have overhånden
Apple præsenter første regnskab siden AI-udmelding: Her er tre bemærkelsesværdige pointer derfra
Sårbarhed kan let give administratorrettigheder til alle: Udnyttes allerede af ransomware-grupper
Se alle »
Computerworld
Teaser billede
Første test: Denne helt nye wunder-CPU vil du have i din næste laptop
Læs mere »
Alvorlig fejl i Intel-chips breder sig: Listen over ramte processor vokser og vokser – og de kan blive permanent beskadigede
’Apple Intelligence’ slippes løs: Her kommer første mulighed for at afprøve Apples kunstige intelligens
Flere statslige it-løsninger ramt af netværksproblemer - ansatte kunne ikke få mail-adgang
Se alle »
CIO
Teaser billede
Stor aftale gør Microsofts datacentre hurtigere - investerer i netværksudstyr
Læs mere »
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
NIS2 i Danmark udskydes med flere måneder: Her er den nye dato, hvor loven træder i kraft
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Læs mere »
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Guide: Sådan udvikler du en moderne netværksstrategi
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »