CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ravnemor Juniormester
26. januar 2005 - 14:18 Der er 44 kommentarer og
1 løsning

Hijaack til tjek

Nogle der vil tjekke denne log for mig ?

Har kun ½ download hastighed af hvad jeg skal have, så tdc siger at jeg kan have spyware.

Logfile of HijackThis v1.98.2
Scan saved at 14:16:19, on 26-01-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMER\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\WINDOWS\SYSTEM\MKSC.EXE
C:\PROGRAMMER\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMMER\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMMER\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMMER\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spil.tv2.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\PROGRAMMER\POPUPPOPPER\POPLIB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Sunkist] C:\Programmer\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system\mksc.exe -boot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmer\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [E-Julemærket] "C:\PROGRAMMER\JULEMæRKE\ejul.exe"
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\icq4\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\icq4\ICQLite\ICQLite.exe
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
Avatar billede levich Nybegynder
26. januar 2005 - 14:28 #1
Den her linje: C:\WINDOWS\SYSTEM\MKSC.EXE, får mig til at tro at du måske har denne spyware: http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=SPYW_MARKTSCOR.A
Prøv at se om du har de fire filer der er nævnt øverst i linket? Vent med at gøre noget.
Avatar billede ravnemor Juniormester
26. januar 2005 - 14:33 #2
Har kun de 2 .dll filer, men hvis de er onde, hvad program kommer de så med ?
Avatar billede ravnemor Juniormester
26. januar 2005 - 14:35 #3
Kan heller ikke se jeg har den Marketscore som de snakker om skal afinstalleres. Eneste program jeg har som virker mistænkeligt er RelevantKnowledge inde i tilføj/fjern. Ved nemlig ikke hvad det er.
Avatar billede ejvindh Ekspert
26. januar 2005 - 15:01 #4
Messenger plus kan være en dygtig bidragyder med snavs. Prøv at afinstallere den og lægge en ny log.
Avatar billede levich Nybegynder
26. januar 2005 - 15:03 #5
Glem min første mistanke, da du kun har de 2 dll filer.
Mht. RelevantKnowledge, så prøv at følge denne vejledning: http://helpdesk.its.uiowa.edu/security/marketscore.htm
Avatar billede ravnemor Juniormester
26. januar 2005 - 15:29 #6
Hmmmm.....selvom jeg fjerner msn+, så fjerner jeg ikke spywaren hvis der skulle være sluppet noget ned med den.

Den side du henviser til levich, er da kun om Marketscore.

Er der ikke en herinde som kan remse de linier op der evt. skal fixes. Der plejer at være nogle der lige præcis ved hvad der skal væk...
Avatar billede ejvindh Ekspert
26. januar 2005 - 15:55 #7
Ja, og de fleste log-læsere ville starte med det råd jeg gav dig: Afinstaller MSG+ og læg en ny log.

Nå, men der er ikke så mange loglæsere tilstede mere, så jeg kigger lige på den. Bare vent med at lægge en ny log...
Avatar billede ejvindh Ekspert
26. januar 2005 - 16:10 #8
Start med at afinstallere RelevantKnowledge (kontrolpanel-Tilføj/fjern)
(iøvrigt så er RelevantKnowledge bare en særlig afart af Markedstore...)

Prøv herefter at klik på start-kør og tast:

cmd
cd \windows\System
mksc -bootremove -uninst:RelevantKnowledge
exit

Genstart maskinen og slet følgende fil:
c:\windows\system\mksc.exe

Åben IE. Gå ind i Funktioner-indstillinger og klik på Indhold-certifikater. Søg efter "Netsetter" i listen og slet den. Slet også "Marketscore" hvis den er der....

Evt kan du åbne regedit (Start->kør->regedit) og fjern nøglen Software\Netsetter in both HKEY_LOCAL_MACHINE and HKEY_CURRENT_USER.

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere den endnu.
http://www.spywareinfo.dk/download/mwav.exe

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet filer listet længere nede (måske er nogle af dem væ allerede).

O4 - HKLM\..\Run: [OSS] c:\windows\system\mksc.exe -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db

Sletning af filer og mapper:
Åbn en mappe, klik på Vis=>Mappeindstillinger=>Vis.
Fjern flueben i "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis alle filer".
-------------------
Filer:
c:\windows\system\mksc.exe
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
---------------------------------------
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.
---------------------------------------
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/adaware.manual.htm
---------------------------------------
Genstart og kom med en ny logfil.
Avatar billede cookie_ll Nybegynder
26. januar 2005 - 21:57 #9
Ejvindh >> C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE ;o)!

//Cookie_ll
Avatar billede ejvindh Ekspert
26. januar 2005 - 22:13 #10
Cookie_ll: Først så undrede jeg mig lige lidt over din kommentar, da jeg jo HAR sat den til at skulle fixes. Men det holder jo ikke længe, hvis ikke den også bliver slettet. Tak for hintet :-)

Ravnemor: Denne fil skal også slettes:
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe

Hvis du ikke er gået i gang med proceduren endnu, så slet den samtidig med mksc.exe og LDMConf.exe

Hvis du er gået i gang og er kommet forbi dette punkt, så gør det ikke så meget. Så kan du bare når du er færdig med det hele taste ctrl-alt-delete, afslutte Realshed-processen, og så gå ind i stifinderen og slette filen.
Avatar billede cookie_ll Nybegynder
26. januar 2005 - 22:17 #11
Ejvindh >> Det var så lidt ;o)! Håber, det var OK, jeg lige blandede mig - sådan lidt diskret *G*?!

Tip: Slet den ved rodmappen. Dvs: C:\Programmer\Fælles filer\Real\ <<<< Slet mappen

//Cookie_ll
Avatar billede ejvindh Ekspert
26. januar 2005 - 22:21 #12
Ja, det er selvfølgelig ok. Det vigtigste er jo at spørgeren får løst sit problem.

Jeg har godt bemærket at mange sletter mappen. Men er det vigtigt at selve mappen bliver slettet med? Jeg kan se at "answersthatwork" bare anbefaler at man omdøber filen...
Avatar billede cookie_ll Nybegynder
26. januar 2005 - 22:37 #13
Ejvindh >> Mit princip er, at man ligeså godt kan fjerne al snavs eller det, der ikke tjener noget formål. Du ved bare for at "rydde lidt op" i systemet, så det bliver mere overskueligt.

Ergo, det gør ikke noget, man kun sletter filen men ikke rodmappen, men der er vel ingen grund til at have en tom mappe :o)? Jeg har ikke Windows 98, men så vidt jeg husker, er der ikke andet i Real-mappen end denne fil?!

Vi har jo alle vores måde at gøre tingene på, så jeg kan ikke sige, hvorfor andre evt. bare omdøber filen. Men vil det ikke bare give brugeren endnu en fil, vedkommende ikke kan bruge til noget som helst :o)?!

//Cookie_ll
Avatar billede ejvindh Ekspert
26. januar 2005 - 22:49 #14
Cookie_ll: Det kan du såmænd have ret i. Omdøbning er bestemt en "forsigtig løsning". Og du kan også have ret i at det er fjollet at bevare en tom mappe, hvis man som jeg blot sletter filen. Jeg skulle bare lige høre om det var afgørende for rensningens succes.

Ravnemor: Hvis mappen C:\Programmer\Fælles filer\Real\ kun indeholder den ene fil (realsched.exe), kan du roligt slette hele mappen.
Avatar billede cookie_ll Nybegynder
26. januar 2005 - 23:41 #15
Ejvindh >> Som sagt mener jeg al "snavs" burde fjernes, men eftersom Realplayer er så populært, kan det godt være, vi skal lade det være op til brugeren at vælge, om hun vil af med det eller ej - selv om det i mine øjne kan det sammenlignes lidt med DAP (Download Accelerator) :o)!

Så Ravnemor >>
Hvis du er villig til at give afkald på din Realplayer, sletter du hele Real-mappen:
C:\PROGRAMMER\FæLLES FILER\REAL\ <<< Slet mappen

Ellers skal du kun slette til og med Update-mappen:
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\ <<< Slet mappen

//Cookie_ll
Avatar billede ejvindh Ekspert
27. januar 2005 - 00:03 #16
Cookie_ll: Her er jeg altså ikke enig med dig :-) At fjerne Realshed giver jo ikke tab af Realplayer. Derfor skal Realshed.exe helt sikkert fjernes.

Jeg har nu været inde og checke efter på min egen pc, og kan se at der ligger meget andet end den fil i både C:\Programmer\Fælles filer\Real\ og C:\Programmer\Fælles filer\Real\Update_OB. (muligvis fordi jeg engang har kørt en update af Real....). Derfor synes jeg at det giver mindst "støj" på linien hvis man blot sletter filen, hvis der er andre filer i mappen. Og hvis ikke, kan man evt. vælge at slette hele mappen.

Cookie_ll: For ikke at skabe mere forvirring for spørgeren her, foreslår jeg at medmindre det er meget afgørende for denne rensnings success, så fortsætter vi vores diskussion direkte pr. email. Du kan skrive til fileh [snabel-a] hum.au.dk

Ravnemor: Hvis du synes dette er forvirrende, så anbefaler jeg at du bare fokuserer på "Kommentar: ejvindh 26/01-2005 16:10:50" og "Kommentar: ejvindh 26/01-2005 22:13:24" -- og at du så ignorerer resten ;-)
Avatar billede ravnemor Juniormester
27. januar 2005 - 00:09 #17
Så er hele real mappen også slettet. Jeg får kun realplayer ned når jeg prøver at åbne filer som kræver programmet, og det er egentlig sjældent - så skitte være med den... For at løse jeres mysterie lå der 7 mapper i REAL, og 25 filer og 1 mappe i UPDATE_OB, men nu er det væk.

Jeg har nu løst hele "manualen" men fattede ikke helt noget af:
cmd
cd \windows\System
mksc -bootremove -uninst:RelevantKnowledge
exit

Jeg har scannet med mwav.exe men kan ikke helt se hvad jeg skal gøre når den er færdig. Jeg kopierer lige hvad den fandt frem:

File C:\WINDOWS\SYSTEM\Popular Screensavers.scr tagged as not-a-virus:AdWare.ToolBar.MyWebSearch. No Action Taken.
File C:\WINDOWS\SYSTEM\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken.
File C:\Programmer\Fælles filer\bdpafplp\pbneljcn\eppfhjlh.exe tagged as not-a-virus:AdWare.Gator.a. No Action Taken.
File C:\Programmer\Fælles filer\bdpafplp\bajeabhree\nrpdhredh.exe tagged as not-a-virus:AdWare.Gator.a. No Action Taken.
File C:\Programmer\Spamihilator\training\9a0e9b34.training infected by "Trojan-Spy.HTML.Bakfraud.ca" Virus. Action Taken: File Deleted.
File C:\Programmer\Hijackthis\backups\backup-20041031-133230-441.dll tagged as not-a-virus:AdWare.ToolBar.CoolBar.a. No Action Taken.
File C:\Programmer\Hijackthis\backups\backup-20050126-221904-424.dll tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\Programmer\Hijackthis\backups\backup-20050126-221904-799.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINDOWS\SYSTEM\Popular Screensavers.scr tagged as not-a-virus:AdWare.ToolBar.MyWebSearch. No Action Taken.
File C:\WINDOWS\SYSTEM\SearchBar\SearchBar.exe infected by "TrojanDownloader.Win32.VB.eu" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken.
File C:\WINDOWS\Skrivebord\Diverse\Fotos og baggrunde\Fåret\sheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\topsfondi.exe infected by "Trojan.Win32.Dialer.a" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\GBCGTLDK\bridge-c18[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\GBCGTLDK\fwbar2_main2[1].dll tagged as not-a-virus:AdWare.ToolBar.CoolBar.a. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\GBCGTLDK\coolbar[1].cab infected by "TrojanDownloader.Win32.VB.eu" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\GBCGTLDK\PopularScreenSaversInitialSetup1.0.0.8[1].cab tagged as not-a-virus:AdWare.ToolBar.MyWebSearch. No Action Taken.
File C:\sysfwb\4489293297\iefwbar.dll tagged as not-a-virus:AdWare.ToolBar.CoolBar.a. No Action Taken.
File C:\sysfwb\2256516845\iefwbar.dll tagged as not-a-virus:AdWare.ToolBar.CoolBar.a. No Action Taken.

Tid ialt: 01:10:03

Hvad betyder så alt det ???
Avatar billede ejvindh Ekspert
27. januar 2005 - 00:19 #18
Nå, kun godt en time... Det var hurtigt :-)
Loggen betyder at den har fundet en 15 Adware-filer som den ikke har gjort noget ved (er sandsynligvis efterfølgende blevet slettet med AdAware). Og den har fundet 4 virus-filer, som den har slettet.

Angående de kommandoer som du ikke forstod, så var det nogle kommandoer du skulle taste først fra Kør-menuen og det Dos-vindue der kommer frem. Men hvis de efterfølgende trin ikke har givet problemer, så kan det godt være du kan springe over dét punkt. Send en ny HJT-log ind, så kan vi se hvor langt du er kommet :-)
Avatar billede kalp Novice
27. januar 2005 - 00:19 #19
ravnemor>> Nu vil jeg ikke blande mig i tråden, men det betyder, at der blevet fundet lidt snavs på din computer hvoraf noget af det kunne slettes, men det sidste skal der et værktøj til at slette hvilket ejvindh og cookie nok skal guide dig videre med.
Avatar billede kalp Novice
27. januar 2005 - 00:20 #20
okay nevermind:) hvis adware er blevet kørt så er de nok væk.. jeg troede killbox var nødvendig til de sidste filer:)
Avatar billede ravnemor Juniormester
27. januar 2005 - 00:37 #21
Så er ad aware også kørt. Der var i første omgang 1 fil den ikke kunne få væk, men den tog den da jeg kørte anden gang :-)

Logfile of HijackThis v1.98.2
Scan saved at 00:36:41, on 27-01-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMER\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAMMER\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMMER\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMER\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMMER\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\PROGRAMMER\HIJACKTHIS\HIJACKTHIS.EXE
C:\PROGRAMMER\HP\HPCORETECH\COMP\HPDARC.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spil.tv2.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\PROGRAMMER\POPUPPOPPER\POPLIB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Sunkist] C:\Programmer\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmer\Spamihilator\spamihilator.exe"
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\icq4\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmer\icq4\ICQLite\ICQLite.exe
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
Avatar billede ejvindh Ekspert
27. januar 2005 - 00:38 #22
Jeg kigger den lige igennem inden jeg logger af.
Avatar billede ravnemor Juniormester
27. januar 2005 - 00:51 #23
Tak for hjælpen, og læg du bare et svar, så får du point...
Avatar billede ejvindh Ekspert
27. januar 2005 - 00:52 #24
Det ser ud til at vi fik det hele i første hug. Loggen er ren :-). Jeg håber det løste dit oprindelige problem også.

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Som minimum vil jeg anbefale at lægge Spywareguard, Spywareblaster og IE-spyad ind. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/vaerktoj.htm

Min holdning til Messenger Plus kender du allerede.... :-)
Avatar billede ejvindh Ekspert
27. januar 2005 - 00:53 #25
Ja, det skulle jo have været et svar....:-)
Avatar billede ravnemor Juniormester
27. januar 2005 - 00:57 #26
*GG* ja den kender jeg, men alle siger at den ikke er noget problem når man bare siger nej til deres sponsorprogram :-)

Jeg har før haft alle de spywareprogrammer inde jeg overhovedet kunne få i ind og opdaterede versioner....jeg fik spyware alligevel, og når jeg kun ser spyware ca 1 gang hvert 1-1½ år, så gider jeg ikke have dem liggende. Dette er iøvrigt den største omgang jeg har haft endnu, for det plejer ikke at være så slemt.

Det ser desværre ikke ud til at jeg har fået mere hastighed af den grund :-(( måske bliver det bedre når solen står op :-/
Avatar billede ejvindh Ekspert
27. januar 2005 - 01:06 #27
Ja, det er jo en temperaments-sag, hvor sikkert man vil køre. Angående MSG+ og muligheden for at fravælge spyware, viser denne tråd, at sagen ikke er helt så simpel (og det er vel at mærke folk, der ved hvad de taler om):

http://www.eksperten.dk/spm/528544

Nå, men jeg får dig jo nok ikke overbevist, så jeg slutter af her, og takker for point.
Avatar billede cookie_ll Nybegynder
27. januar 2005 - 01:11 #28
Undskyld, jeg blander mig igen, men vil lige give Ejvindh helt ret i det med MessengerPlus (uanset om 2 eller 3). Jeg mener IKKE, det er nok bare at sige nej til sponsorerne. Du kan evt. læse min begrundelse her: http://www.hol.dk/traad.asp?fID=26&tID=246176#8

Ejvindh >> Jeg mailer lige til dig i morgen mht vores "samtale" længere oppe :o). Du skrev dog, jeg godt måtte blande mig her igen, hvis det havde noget med selve rensningens succes at gøre :o)?! Det vil jeg tro, dette har: Nedenstående er kommet til i mellemtiden, så den vil jeg anbefale, brugeren gør noget ved:

FIX:
O4 - Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE

SLET:
C:\Programmer\Microsoft Office\Office\FINDFAST.EXE <<<< Slet filen

Sorry, skal nok lade være med at blande mig mere *G*. Sov godt.
Avatar billede ejvindh Ekspert
27. januar 2005 - 01:22 #29
Cookie_ll: Du er bestemt stadig velkommen til at blande dig. Den entry har dog været der hele tiden. Det er også en entry, der ikke ville overleve længe på min egen computer, men jeg anser den for at være et user's choice (fordi den mest af alt er spild af plads). Og det er der jo så mange af de tilbageværende entries der er.
Avatar billede tonnybrandt Nybegynder
27. januar 2005 - 01:30 #30
Nu vil jeg godt lige blande mig lidt *s*

Jeg synes det er helt fint at deaktivere findfast, det gjorde jeg også selv da jeg kørte 98, men jeg synes lige det er skrapt nok at fixe den i HiJackThis og bagefter slette filen. På et tidspunkt bliver HJT backuppen jo slettet og dermed også muligheden for at få filen tilbage.
Det er trods alt en del af Microsoft Office og er ikke Spyware, så en deaktivering i msconfig, er efter min mening mere på sin plads. Det andet er for definitivt.
Avatar billede cookie_ll Nybegynder
27. januar 2005 - 09:58 #31
Tonnybrandt >> Tak, fordi du "blandede" dig. Tænkte faktisk på i morges at poste et "Hjæææælp, Tonny" herinde ;o)! Jeg er måske lidt for "hård" i mine rensninger, da jeg som sagt generelt fjerner alt, som ikke tjener noget formål. Skal nok prøve at være mere rund og mild fremover :o)!
Avatar billede kalp Novice
27. januar 2005 - 10:02 #32
cookie_II>> Det vel fint nok du tager alt der kan fjernes med du kan evt. skrive sådan noget som "FINDFAST.EXE" er op til brugen og han/hun vil fjerne det:)
Avatar billede cookie_ll Nybegynder
27. januar 2005 - 10:15 #33
Kalp >> Det gør jeg normalt også, hvis det er noget, der trods alt kan bruges - fx Realplayer (og aller-worst case: MessengerPlus). Men i dette tilfælde var det jo en total "død" ting, så ..... Men OK OK, I har nok ret. Jeg skal nok være mildere, rundere og mere demokratisk frem over ;-p!
Avatar billede ejvindh Ekspert
27. januar 2005 - 10:25 #34
Cookie_ll: ;-) I dine egne rensninger er du jo velkommen til at gøre hvad du vil. Og du er også velkommen til at komme med indspark i mine rensninger. Når jeg lige "kaldte til ro" ovenfor var det fordi jeg ikke var helt klar over spørgerens niveau i forhold til den rensnings-proces jeg havde "ordineret". Og så længe det rigtigt alvorlige snavs ikke er fjernet, tænkte jeg at vi skulle passe på ikke at hyle hende helt ud af den med vores diskussioner. Det sker jo ofte at de givne anvisninger i forvejen kan virke lidt overvældende for spørgerne. :-)

Nu viste det sig jo at Ravnemor tog det hele meget ovenfra og ned, så der er i dette tilfælde no-harm-done. Og på den her side kan vi fint tage disse diskussioner... I værste fald kan ravnemor jo bare ignorere dem. :-)
Avatar billede ravnemor Juniormester
27. januar 2005 - 22:06 #35
*GGG* jamen i debaterer bare videre.......det er meget rart at se hvad i forskellige mener, så kan jeg til en anden gang vurdere hvis hjælp jeg stoler mest på. Men helt rigtigt ejvind....jeg tager det hele meget ovenfra og ned, og paser på med ikke at lade pc´en styre mit liv. Skulle jeg få noget totalt uopretteligt, jamen så koster en ny harddisk eller bundkort ikke voldsomt meget :-) og der skal mere til at pi.... mig af end en virus. Irriterer mig bare lidt at jeg ikke får glæde af de 4 mb som tdc siger jeg har nu :-( Jeg har denne gang sikkert haft spyware i lang tid uden jeg har haft mistanke *GG* Hvis man ikke har større problemer end hvem der "blander" sig i hvilke tråde og hvad folk ellers kan brokke sig over herinde på E, så er de altså for forkælede ;-)) Bare min mening *G* Og det er altså ikke til nogen bestemt af jer :-)

Så snak i bare videre :-))
Avatar billede ejvindh Ekspert
28. januar 2005 - 09:02 #36
Tak for "fri-biletten" ;-)

Angående dit fortsatte problem: Hvad dit specifikke problem er, tror jeg desværre ikke jeg kan hjælpe dig videre med. Hvis du har mulighed/tid/lyst kunne du måske prøve at koble en anden pc på forbindelsen og se om den bedre kan leve op til den lovede hastighed. Hvis det så virker fint på den anden pc, så ved du i hvert fald at problemet er hos dig selv. Og ellers kunne det jo tyde på at det er TDC der har et problem....
Avatar billede majsmarken Nybegynder
31. januar 2005 - 14:46 #37
Så det lige tilfældigvis - <ravnemor>: Hvordan måler du din internet hastighed ?
Brug evt. denne: http://www.internetkvalitetsguide.dk/StreamSpeed_Download.asp
Avatar billede ravnemor Juniormester
01. februar 2005 - 13:57 #38
Hmmmm opdagede lige en anden tråd med en hjt-log og undrer mig hvorfor i egentlig ikke opdager at jeg ikke har opdateret programmet :-/

Kan min log så stadig godt være lige så ren ?
Avatar billede johnstigers Seniormester
01. februar 2005 - 14:07 #39
Nej :)
Lav en ny log med denne: http://www.arlet.dk/hjt.exe
Avatar billede ejvindh Ekspert
01. februar 2005 - 14:09 #40
Grunden til at jeg ikke bad dig om at bruge den nyeste HJT er at du kører Win98. Den væsentligste nyskabelse i den nyeste HJT er O23 og de er ikke relevante i XP.
Avatar billede ejvindh Ekspert
01. februar 2005 - 14:47 #41
rettelse: det er selvfølgelig for Win98-computere at O23 ikke er relevant. ;-)
Avatar billede cookie_ll Nybegynder
01. februar 2005 - 16:31 #42
Ravnrmor > Den nyeste version HJT er også mest relevant ved mistanke om CWS-infektioner, hvilket der ikke var nogen indikation af i din log, så ejvindh har renset din log fuldstændig jvf det HJT kan vise.

Havde du brugt en endnu ældre version (fx 1.97), havde det været en anden sag....

//Cookie_ll
Avatar billede majsmarken Nybegynder
01. februar 2005 - 18:36 #43
http://www.internetkvalitetsguide.dk/StreamSpeed_Download.asp ???
Avatar billede ravnemor Juniormester
12. februar 2005 - 00:47 #44
Jeg kan da lige opdatere jeg mht den forindelse.

Jeg havde en lang snak med en tdc tekniker i tlf i onsdags, og han måtte ende med at gætte på at det kan være fordi jeg endnu kører med en gammel router (Speedstream 2601) som vi lejede for ca 3 år siden da vi gik fra modem og over til adsl.

Han foreslog at forsøge med en nyere router. Det har vi bare ikke råd til nu, så det må jeg se på i næste måned. Man kan åbenbart ikke leje dem mere :-(
Avatar billede ejvindh Ekspert
14. februar 2005 - 09:12 #45
Tak for opdateringen. Det er dejligt at få feedback fra folk, som man har hjulpet i en tråd, så man har en fornemmelse af sagernes tilstand. :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 00:30 Fejl i Ark Af Morten_Jepsen i Excel
06/0716:56 Kan min mobil hackes Af SBS i Mobiltelefoner
06/0712:56 Forskellige billeder til forskellige skærme ? Af snedker1 i Mac
06/0711:56 Om brug af funktionen sumprodukt Af Erik R i Excel
05/0722:41 Hjælp til at skrive opgave Af Needhelp i Småopgaver
White papers
Flere white papers »


Premium
Teaser billede
Dynamics-kæmpen Cepheo leverer røde tal i første regnskab som selvstændigt selskab
Læs mere »
IBM-direktør efter blodrødt regnskab: “Vi er godt på vej ud af det stormvejr, som ramte os i 2023”
Stiftere overvejer at gøre Flatpay til en bank – krav om compliance er en stopklods
Rejsekort reducerer kraftigt den tid, som selskabet vil beholde dine lokationsdata i: Vil nu slette dem efter få måneder
Se alle »
Computerworld
Teaser billede
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
700.000 Linux-systemer kan været truet af ny alvorlig sårbarhed
Wordperfect-stifteren Bruce Bastian er død: Han revolutionerede tekstbehandlingen, men tabte slaget til Microsoft
Se alle »
CIO
Teaser billede
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Læs mere »
Russisk hack af Microsoft er meget større end først antaget
Halter mange år bagefter: Langsom software-udvikling udfordrer kæmpe digitalt løft af Billund Lufthavn
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
SASE: Træf det rette valg – første gang
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »