Avatar billede speedy1979 Nybegynder
05. februar 2005 - 14:24 Der er 22 kommentarer og
1 løsning

Spyware? Ukendt program: ALG.exe, er det spyware?

Jeg har en winXP Pro maskine, som har været slemt inficeret med spyware men burde være fri nu ifølge de 2-3 scannerprogrammer, jeg har brugt (Spyguard, Spysweeper 3,5 og lign) men hver gang jeg starter den opdager jeg under "Processer" at jeg har et ukendt program ALG.exe kørende, som ligger under
C:\WINDOWS\SoftwareDistribution\Download
Er der nogen herinde der ved lidt om hvad det er, om jeg skal fjerne det, samt om mappen softwaredistribution er et levn fra spywaren og kan fjernes eller om den hører til XP?
Er der andre metoder til at undersøge min pc for resterende backdoors og trojanske programmer samt spyware?
Avatar billede gratis Nybegynder
05. februar 2005 - 14:28 #1
Avatar billede johnstigers Seniormester
05. februar 2005 - 14:42 #2
alg.exe er altså ok
Avatar billede kalp Novice
05. februar 2005 - 15:19 #3
En okay måde at undersøge pc'en på er at du downloader
http://www.downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis

scanner og kopirer den log der bliver genereret herind så kan vi kigge på loggen.
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 15:44 #4
Sikke en masse, I ved, jeg har lidt at lære endnu, jeg fik da lavet en log, som ser sådan ud:
Logfile of HijackThis v1.99.0
Scan saved at 15:42:31, on 05-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders\Skrivebord\HijackThis.exe
C:\Programmer\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bilgalleri.dk/html/gal_visbil.asp?ID=15157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Speedys PC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {70EFE7B7-1679-5844-C419-E86BC90E25F1} - C:\WINDOWS\system32\somkrmbp.dll
O2 - BHO: (no name) - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - (no file)
O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - (no file)
O2 - BHO: (no name) - {AEB3744D-1493-894E-3DD1-652AD1511AB1} - C:\WINDOWS\system32\tcdmeghk.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BFF76A29-B5CF-30F0-8DCD-703878B11B62} - C:\WINDOWS\system32\dgaoytrg.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [svchost.exe] C:\WINDOWS\system\svchost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11A88DE4-151F-434C-8FFC-B9B5D0C1DC61}: NameServer = 10.0.0.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Miscrosoft Updates Service 5 - Unknown - C:\WINDOWS\system32\msupd5.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: ASUS Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Under afviklingen af Hijackthis kom Norton Antivirus og fortalte at der er fundet en trojan på O23 - Service: Miscrosoft Updates Service 5 - Unknown - C:\WINDOWS\system32\msupd5.exe , hvad gør jeg lige ved dette og er det korrekt?
Avatar billede kalp Novice
05. februar 2005 - 15:50 #5
Jeg kigger på den
Avatar billede kalp Novice
05. februar 2005 - 15:52 #6
okay... jeg kommer med en procedure om lidt.. din computer er ikke helt ren
Avatar billede kalp Novice
05. februar 2005 - 15:57 #7
Download AboutBuster (Vi skal bruge den senere)
http://downloads.subratam.org/AboutBuster.zip

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {70EFE7B7-1679-5844-C419-E86BC90E25F1} - C:\WINDOWS\system32\somkrmbp.dll
O2 - BHO: (no name) - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - (no file)
O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - (no file)
O2 - BHO: (no name) - {AEB3744D-1493-894E-3DD1-652AD1511AB1} - C:\WINDOWS\system32\tcdmeghk.dll
O2 - BHO: (no name) - {BFF76A29-B5CF-30F0-8DCD-703878B11B62} - C:\WINDOWS\system32\dgaoytrg.dll
O23 - Service: Miscrosoft Updates Service 5 - Unknown - C:\WINDOWS\system32\msupd5.exe

Find og slet

Denne fil

C:\WINDOWS\system32\msupd5.exe

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\system32\somkrmbp.dll
C:\WINDOWS\system32\tcdmeghk.dll

Ps. kunne du ikke finde C:\WINDOWS\system32\msupd5.exe før så prøv igen nu.

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Kør AboutBuster

Genstart normalt og smid en ny log fil herind
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 16:33 #8
ok, jeg går igang nu, det tager liiiige lidt tid.....tak indtil videre ;-)
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 17:47 #9
Hej Kalp, det tog sgu lidt tid men jeg tænkte sgu lidt selv at jeg lige ville lave en backup af mine dokumenter på en server inden jeg lavede noget men nu lykkedes det. Jeg har gjort som befalet men kunne ikke finde de to filer
C:\WINDOWS\system32\somkrmbp.dll
C:\WINDOWS\system32\tcdmeghk.dll
De var ikke i system32 directoriet...

Her kommer en ny (efter ændringerne) log:

Logfile of HijackThis v1.99.0
Scan saved at 17:42:54, on 05-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Anders\Skrivebord\HijackThis.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Speedys PC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {70EFE7B7-1679-5844-C419-E86BC90E25F1} - (no file)
O2 - BHO: (no name) - {AEB3744D-1493-894E-3DD1-652AD1511AB1} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BFF76A29-B5CF-30F0-8DCD-703878B11B62} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [svchost.exe] C:\WINDOWS\system\svchost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11A88DE4-151F-434C-8FFC-B9B5D0C1DC61}: NameServer = 10.0.0.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: ASUS Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hvad sir du til det?
Avatar billede kalp Novice
05. februar 2005 - 17:52 #10
Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

O2 - BHO: (no name) - {70EFE7B7-1679-5844-C419-E86BC90E25F1} - (no file)
O2 - BHO: (no name) - {AEB3744D-1493-894E-3DD1-652AD1511AB1} - (no file)
O2 - BHO: (no name) - {BFF76A29-B5CF-30F0-8DCD-703878B11B62} - (no file)

jeg går ud fra dit virus program ikke brokkede sig denne gang da du kørte hijackthis ?
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 17:56 #11
Der var intet piv fra NAV denne gang...jeg genstarter ;-)
Avatar billede kalp Novice
05. februar 2005 - 18:11 #12
ny log forresten
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 18:14 #13
Logfile of HijackThis v1.99.0
Scan saved at 18:12:15, on 05-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Spy Sweeper\SpySweeper.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Anders\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Speedys PC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {70EFE7B7-1679-5844-C419-E86BC90E25F1} - (no file)
O2 - BHO: (no name) - {AEB3744D-1493-894E-3DD1-652AD1511AB1} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BFF76A29-B5CF-30F0-8DCD-703878B11B62} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programmer\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FÆLLES~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [svchost.exe] C:\WINDOWS\system\svchost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmer\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11A88DE4-151F-434C-8FFC-B9B5D0C1DC61}: NameServer = 10.0.0.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: ASUS Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programmer\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Som du sikkert allerede har luret er de 3 filer/ting jeg skulle checke/fixe ikke forsvundet....
Avatar billede kalp Novice
05. februar 2005 - 18:17 #14
fiksede du Dem i fejlsikret tilstand?
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 18:23 #15
yep, genstartede efter din anvisning, startede Hijack, kørte en scan og fixede de 3, gjorde det tilmed 2 gange da dem stadigt kom frem i loggen bagefter??
Avatar billede kalp Novice
05. februar 2005 - 18:28 #16
okay det fint.. det betyder heller ikke nødvendigvis noget, men synes da du skal køre denne online scanner som det sidste!

http://www.spywarefri.dk/spywarefri-onlinescan.htm
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 18:35 #17
Ok, det gjorde jeg så og den fandt + fjernede denne:

Detected AproposMedia:
Registry Keys (1) :
  HKEY_CURRENT_USER\Software\POP

Jeg genstarter lige.....uno secundo!
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 18:48 #18
I'm back, hvad så nu? Mener du vi er ved vejs ende? Jeg lurede lige at du har gang i flere af samme slags med logs derudaf, der er nok at se til efter at CoolWebsearh og andre orme er blevet udbredt, hva?

Hvis der ikke er mere nu, så er jeg dig dybt taknemmelig for din hjælp. Det er virkelig rart efter en led omgang med spyware og virus at vide at jeg er ved at være til bunds i alt det snask....hvor kunne det være fredeligt uden den slags ting!

De bedste hilsner Anders

PS: Smid lige et svar, så smider jeg point efter dig, ik?
Avatar billede kalp Novice
05. februar 2005 - 18:53 #19
Ja spyware er ved, at overhale virus problemer hehe:) Yes vi er færdige hvis du vil gøre en sidste ting i aften når du smutter i seng så download

http://www.spywareinfo.dk/download/mwav.exe

genstart i fejlsikret tilstand

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

og gør det når du skal sove for det tager rimelig lang tid:)
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 19:04 #20
Okay, det vil jeg prøve, hvad gør den?
Avatar billede kalp Novice
05. februar 2005 - 19:05 #21
Det er en virus scanner:) en effektiv en:)
Avatar billede speedy1979 Nybegynder
05. februar 2005 - 19:15 #22
Tak igen igen igen...jeg læser sgu lige lidt på spywareinfo.dk......fed side!
Avatar billede kalp Novice
05. februar 2005 - 19:16 #23
Selv tak glad for at kunne hjælpe:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester