En virus kalder sig 'msdc.exe' og sender spam fra min maskine.

..senere fandt Panda en fil, "Bck\HacDef.073", som skulle ligge i c:\programmer\windows nt\som913\hxdef073.exe" - den kunne jeg selvfølgelig ikke finde, og jeg ved ikke om det er samme problem.

http://www.securityfocus.com/archive/104/320920/2003-05-04/2003-05-10/0
http://wwwuser.gwdg.de/~server/gwdg-sec/0222.html
Lige hvad jeg kunne finde nu.

Er det denne orm du har fået indenbords?

Link: http://www.sophos.com/virusinfo/analyses/w32cheapcama.html

/per

Ok, jeg har også ledt og ledt. Det som jeg er kommet frem til er at du højst sandsynligt har spyware på din computer. Der er ikke rigtig nogen virusscannere som finder spyware, så vi skal allerført have dig til at onlinescanne for spyware. http://www.spywarefri.dk/spywarefri-onlinescan.htm Denne scanner kan du benytte frit, og den er lynende hurtig.
Den finder sikkert en masse som den så også vil forsøge at reparere for dig.
Du skal efterfølgende hente og installere Spybot som du ligeledes kan finde på http://spywarefri.dk under værktøjer. Når du har hentet og installeret den, skal du opdatere den, og køre en scanning med denne. Hvis der stadig er noget skidt tilbage skal jeg have dig til at hente et prg. som hedder hijackthis som du også kan finde under værktøjer, og så skal jeg have en logfil herind for at tjekke om der er mere som skal fjernes.

Se lige dette som jeg fandt til dig:

Un programme nomme hxdef073.exe se situant dans le repertoire
C:\WinNT\Setup permettait au pirate d'administrer la machine.

En hacker på din computer. Når du har fulgt ovenstående råd, så må vi køre denne hijackthis for at få denne hacker fjernet.

det er vist en lille nasty fyr du har fået dig der (hxdef). det er en trojaner. den skal du nok forsøge ret hurtigt at komme af med...

trojan? det skulle et av-program da kunne finde.
Ellers så syns jeg, at inden du sletter det, at du skal sende det ind til en af antivirus program gutterne. Sådan at resten af verden evt. også kunne blive beskyttet mod den.
Ved dog ikke om de kender den allerede, men prøv da lige.

Nej det kan AV programmer ikke. De er rettet mod virus og ikke trojanere, de kan finde enkelte trojanere men langt fra alle, så du skal bruge helt andre metoder for at få bugt med den.

iflg http://www.securityfocus.com/archive/75/325097 er hxref et root kit.

Skylder lige staticdata at fortælle at hacker og trojaner er en af samme ting hvis du skulle være i tvivl, så få kørt spybot og derefter hijackthis, smid kopi af logfil herind, og vi skal få den fjernet for dig nemt og smertefrit. Kan først gøre det i morgen formiddag, for nu vil jeg i seng.

slots norton> En virusscanner snupper ind imellem en trojaner, men det er som regel meget få. En virusscanner er for virus. SpywareGuard er nøjagtig det samme for spyware. TrojanHunter, Boclean og TDS-3 er nøjagtig de samme for trojaner.

Tak til alle for entusiastiske svar. Jeg er ikke så bevendt udi techno, så jeg fulgte rådet fra aovergaard og fik spywarefri til at finde og slette en dialer:

"Full Name: Proclaim Dialers Websearch
Type: Dialer
Danger Level:  4 [Explain] 
Official Description: A collection of dialers, and a control that allows any site to install new dialers (or any other software)


Comment: Claims to be from "Proclaim Telecom" but web searches on this company turn up little or no information.
   
   
Properties: Stays resident in background
Stealth: hides itself from user
Makes changes to browser settings"

Keeps you informed.

Staticdata>>Du kommer ikke udenom Spybot og Hijackthis, bare gå i krig, vi guider dig hele vejen igennem det.*S*

Mucho grazi - jeg rebootede, og Panda fandt førnævnte Bck/HacDef.073 igen, så jeg tror, du har ret...

Takker for point;)

Men enig med fromsej, vi er ikke færdige med dig endnu. Vi skal nok hjælpe dig hele vejen igennem, så det er bare med at komme igang med spybot og hijackthis. Derudover får du af perhaps at vide du også skal tage en scanning mod trojanere, og det kan du med Trojanhunter. http://www.webattack.com/get/trojanhunter.shtml Her kan du hente en trial dvs. en gratis for 30 dage, så det vil jeg anbefale dig at gøre først. Derefter tager du Spybot og Hijackthis

Ja, fromsej har ret. Vi er flere til at hjælpe dig gennem loggen til en clean pc.

Overvældende - jeg er ny her, så måske var det lidt hurtigt, at jeg fik delt points ud; og så kun til en enkelt...Well...downloading...

Staticdata>>Points er ligegyldige, vi skal have renset din PC.*S*

Points er ligegyldige også her. Det skal du ikke spekulere på.

Undertegnede, fromsej og perhaps er alligevel sammen, det er bla. os 3 som har noget at gøre med spywarefri.dk og vi arbejder altid sammen, også i dette spørgsmål, så du skal ikke have så dårlig samvittighed, hovedsagen er at du bliver hjulpet.

....og vi gør det fordi vi synes det er dejligt når det lykkes.

SpyBot fandt en masse, og det er lidt svært at se hvad der er skidt og hvad der er kanel. Nu rebooter jeg og vil derefter slette det, jeg ikke umiddelbart kender til eller skal bruge...

Alt hvad Spybot finder skal fjernes.

Ok - der er iøvrigt en box, Immunize, som jeg ikke lige kan finde ud af, hvad jeg skal bruge til. Scanner...

Men når jeg så finder flg. "description", bliver jeg lidt forvirret:

Company: Microsoft
Product: Internet Explorer
Threat: Security hole

Company URL: http://www.microsoft.com/
Company product URL: http://www.microsoft.com/windows/ie/
Company privacy URL: http://www.microsoft.com/info/privacy.htm

Description
There's a security hole in IE allowing websites to execute code without asking you first. You can find more information at http://security.greymagic.com/adv/gm001-ie/

- - -

Jeg har læst det, men kan ikke lige blive klog på, hvad jeg skal.

Den skal du kun bruge hvis du vil have at der er nogle af dine filer som den skal ignorere. Det er hvis man f.eks har kazaa hvis disse filer fjernes, kan du ikke bruge dette prg. men kazaa er noget møg med hensyn til spy

Den du du omtaler fortæller dig at der er et sikkerhedshul i Internet Explorer, og at der er lavet en opdatering som afhjælper dette problem. Du skal gå i WindowsUpdate og opdater IE. Tag alle de opdateringer du kan.

Ok, men det har jeg hidtil ikke turdet. Updating...

Det kan du roligt gøre, når man har lovlig styresytem er det helt sikkert at opdatere, og de finder hele tiden nogle brister i styresystemet som skal ændres, og derfor er det nødvendigt med disse opdateringer. Lige om lidt smutter jeg en god time, men vender tilbage lige så snart jeg kommer hjem, men der er jo også fromsej og perhaps i mellemtiden;)

aovergaard og fromsej er smuttet nu. Jeg er med, men går lidt i haven ind imellem, men tvivl så spørg. Jeg kigger til det hele tiden så du er ikke lost.

Så er jeg på igen.
Det er tiden nu med Hijackthis logfilen, så vi kan få lidt at gå efter.
Læs om HJT her:
http://www.spywarefri.dk/vaerktoj.htm#18
Installation og brugsvejledning her:
http://www.spywarefri.dk/hijackthis.man.htm
Download her:
http://www.lurkhere.com/~nicefiles/hijackthis195.zip
Kør programmet, vælg Save log, kopier logfilen herind, så kigger vi på den, og får dit sidste skidt væk.

Hvis du har problemer med at lægge filen ind her så bare sig til, så forklarer vi.

Well, lige nu er jeg igang med at opgradere iht. "Kommentar: aovergaard
26/07-2003 12:26:51" Der er anslået 28 minutter tilbage - jeg kunne selvfølgelig være så frisk at jeg downloader samtidig...Jeg føler forresten kun at jeg er nået dertil, hvor jeg Update'r Windows, og derefter SpyBot'er igen. Læser lidt om hijackthis...downloader...

Det er også korrekte fremgangsmåde. Husk at genstarte din pc. efter Update eller kan det godt gå galt. I det hele taget er det en god ide at genstarte hver gang man ligger nogle nye programmer ind. Så vi venter helt roligt til du er fuldstændig klar.

Jeg har nu reboot'et, og Panda skriver stadig som jf. 26/07-2003 00:33:14. ZoneAlert fortæller stadig, at 'msdc.exe' forsøger at tilgå internettet, og SpyBot siger stadig som jf. 26/07-2003 12:22:40, og jeg synes MicroSoft Update selv burde have slettet disse filer. Comments? (Skal lige på das)

Har du også hentet og installeret TrojanHunter, du har fået link til free trial 30 dage. Hvis ikke så gør det nu inden vi kører hijackthis. Hvis du har installeret den skal du jo lige scanne din computer med denne.

Klart nok at du stadig har problemer, vi er jo heller ikke færdige endnu.

Jeg har scannet med TrojanHunter, den fandt intet.
Skulle jeg slette de microsoft-filer, jf. 12:22:40?

Nej, ikke endnu, logfil tak.*S*

Spybot fandt:

DSO Exploit: Data source object exploit (Registry change, nothing done)
  HKEY_USERS\S-1-5-21-2018521433-250103948-782984527-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Skal jeg bare køre "Fix selected problems" og efterfølgende køre TrojanHunter og sende log hertil?

..nej, hijackthis, undskyld...

Ja tak.*S*

Vi er enige om, at Windows Update selv burde have slettet disse indgange i reg, ikke sandt?

Nej, det kan jeg ikke svare på før jeg/vi ser den logfil.

Undskyld jeg er lidt langsom - skrev du ikke lige Ja til, at jeg skulle køre "Fix selected problems"? Herved bliver indgangen jo slettet og fremkommer vel ikke på den hijackthis-log, som jeg efterfølgende skal lave?!?

Nej det er vi ikke enige om, men den har sikret dig for fremtiden, men ikke for det som er sket i fortiden.

Ja fix endelig de problemer som spybot finder.

Og så skulle du være klar til at køre hijackthis efterfølgende så vi kan se på din log.

Checking..rebooting..fixing..eating..scanning..rebooting..

And here is the result of the hijackthis:

Logfile of HijackThis v1.95.0
Scan saved at 16:37:22, on 26-07-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Oracle\OraNt8I\BIN\TNSLSNR.exe
c:\oracle\orant8i\bin\ORACLE.EXE
C:\Oracle\OraNt8I\BIN\OWASTSVR.EXE
C:\Programmer\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmer\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\usrbridg.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\ltcm000c.exe
C:\WINNT\system32\Promon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\System32\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Fælles filer\Real\Update_OB\rnathchk.exe
C:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programmer\TrojanHunter 3.5\THGuard.exe
C:\WINNT\system32\internat.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\Programmer\PKWARE\PKZIPO\PKTray.exe
C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ConnectState.exe
C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ECTaskScheduler.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\PROGRA~1\PKWARE\PKZIPW\pkzipw.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programmer\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\DOCUME~1\sd.CON\LOKALE~1\Temp\PKZO0.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.dn.no/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [IBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [XircWinModem4] ltcm000c.exe 9
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmer\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.5\THGuard.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PKZIP Attachments Status.lnk = C:\Programmer\PKWARE\PKZIPO\PKTray.exe
O4 - Global Startup: Link til PC Suite for Nokia 9210i Communicator.lnk = C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ConnectState.exe
O4 - Global Startup: PC Suite for Nokia 9210i Communicator Opgavestyring.lnk = C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ECTaskScheduler.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.virtuel-sag.kk.dk/qp2.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37828.1450462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4280/mcfscan.cab

Her er da intet, som ikke er anonymt, vel?
Usable?

Du kan være ganske rolig. Programmet er beregnet til at loggen skal lægges i et forum. Du behøver ikke at frygte noget som helst. Det bliver lavet masser af den slags over hele verden hver dag og der findes allerede mange her på Eksperten. Vi starter. Nu må du have tålmodighed for det tager nogen tid.

Tak - jeg glæder mig til svaret; og jeg er stadig lidt forundret over Jeres drivkraft - men det er dejligt ikke at være alene om det. Er "nogen tid" = N minutter, N dage, eller et-ellet-andet-ind-i-mellem?

Aovergaards kommer nu og mit lige efter

Ok nu har vi fundet alt dit skidt på din computer i samarbejde alle 3. Du får lige de første af mig og så kommer der flere fra Perhaps. Og der er meget skidt på din computer kan vi godt fortælle.

Lige lidt information først. Vi skrive en masse du skal fixe. Det du skal gøre nu er at dem vi siger skal fixes skal du markere med en vinge, og når du så har alle dem fra både mig og perhaps så klikker du på fix chekede. Alle andre prg. SKAL være lukket mens du fixer, kun hijack må være fremme. Du må ikke have automatisk gendannelse slået til, for så risikerer du at de bliver gendannet efter fix. De første kommer her:

O4 - HKLM\..\Run: [IBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" –osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

og de sidste kommer her. Hvis du er i tvivl om hvordan du slår automatisk gendannelse fra så sig lige til.

  O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: PKZIP Attachments Status.lnk = C:\Programmer\PKWARE\PKZIPO\PKTray.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37828.1450462963

Hvis du er lidt i tvivl om hvordan du slår systemgendannelse fra så se her
http://www.spywarefri.dk/virus.htm#alle

Øeh, det var dog overvældende...hvor dælen har jeg fået alt det skidt fra? Når jeg browser og ser de nyeste musik-videoer m.v. er jeg da meget påpasselig med IKKE at downloade noget; jeg synes også selv, at jeg har check på, hvem der låner pc'en...

Jeg synes, at det er dramatisk meget - er der evt. en begrundelse for at hver enkelt skal fixes (=dræbes)

Jeg synes vi vil fortælle dig det senere, men kan da lige nævne at dit zip-program har en masse lo... med i kufferten.

Det er ikke så galt, sommetider har vi nogle hvor der er 5 gange så meget skidt i.
Begrundelser kan du få, når skidet er helt væk.
En ting af gangen.*S*

Skidet=Skidtet.*S*

En enkelt ting kan vi da fortælle dig, noget af det er ikke lort, men bare noget som ligger og sløver din pc i opstarten, men meget af det er l.....

Undskyld, og det er ikke for at være utaknemmelig - men kunne vi starte med zip-programmet. Det har jeg købt og betalt på ærlig vis - hvis der er noget galt med det, skulle de måske have besked overthere?

--forresten: "http://www.spywarefri.dk/virus.htm#alle" giver link som ikke forklarer det for windows 2000 - help, pls...

Windows 2000 har ikke systemgendannelse så der er du heldig og kan starte på fix. HUSK nu alle andre vinduer skal være lukket først. Du kan godt have denne side fremme mens du markere dine filer som skal fixes, men så skal du lukke det ned igen når du skal til at fixe. Derefter genstarter du din computer, åbner hijackthis og tager en ny logfil og kopierer herind så vi kan tjekke om alt nu også er væk.

Det med at smide en ny logfil herind er fordi vi af og til bliver nødt til at fixe flere gange for at få bugt med det hele.

Græde, græde - er der en forklaring på zip-ged? jf 17:43:32

Den forklaring får du bagefter af Perhaps som tjekkede denne. Han er ikke tilstede lige pt. men kommer snart.

Undskyld, men jeg er bare ude efter et eksempel på en konkret begrundelse på hvorfor mine ting kaldes lo.. - jeg er lidt uforstående...for ikke at sige små-chokeret.

Det er ikke din ting som kaldes lordt. Det er det utøj som er på puteren. Hvornår har du købt dit zip-program?

Sidste år (eller forrige år) -
Jeg er jo blevet helt paranoid ovenpå dette...
Kunne vi ikke starte med det aller-mest-nødvendige/sandsynlige og så bagefter tage det, som blot "grisser"?
For at sige det som det er, tør jeg ikke "Fixe" (dræbe) f.eks. "O4 - HKCU\..\Run: [internat.exe] internat.exe" uden begrundelse...

Jamen du får begrundelsen her. Øjeblik

Værsgo: http://www.symantec.com/avcenter/venc/data/backdoor.pointex.html

og her: Internat.exe Added as a result of the POINTEX VIRUS!

Mucho grazi - dette var dog blot et eksempel. Har I en kaffe og kage-kasse, som man kunne sponsorere så jeg kunne få argumenter på alle (det er måske ikke helt lovligt hos Eksperten)?

Lige gyldigt hvor du søger på nettet vil du altid se at filen internat.exe er produceret af pointex-virussen, men for min skyld må du da godt undlade at fixe dit zip-program, da du nu har købt det. Jeg kender til de gratis fra PKZip og de har altid været kendt som fyldt med spyware.

Du er meget velkommen til at spørge mig om andre af de filer vi har sagt du skal fixe. "No bad feelings" fra min side

Det var da mærkeligt, at Nortons senest opdaterede anti-virus program IKKE fandt disse efterladenskaber efter Pointex!!!?!! Jeg "fixer" internat.exe...og håber på argumenter for:
O4 - HKLM\..\Run: [IBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" –osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
  O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: PKZIP Attachments Status.lnk = C:\Programmer\PKWARE\PKZIPO\PKTray.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37828.1450462963

spiser lige...jeg er ikke helt med: PKzip publicerer spyware med deres produkt?

Det har PKZip altid gjort med deres freeware, men som jeg også siger så foreligger der intet om deres købeprodukter, så du kan jo undlade at fixe den.

Dit spørgsmål: Det var da mærkeligt, at Nortons senest opdaterede anti-virus program IKKE fandt disse efterladenskaber efter Pointex!!!?!!

Det er fordi det drejer sig om en trojaner. Antivirusprogrammer er ikke så effektive over for trojaner. Det kræves der gode trojanscannere til. Ingen gratis trojanscanner dur.

Du må gerne donere lidt til Spywarefri's firmafest. Så får vi alle gavn af det. :o)

Her er de første forklaringer som jeg lige nåede inden vi spiser:

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" –osboot

Application Scheduler installed along with RealOne Player. Runs independently of RealOne Player, to remind AutoUpdate and Message Center to perform their tasks at pre-scheduled intervals. If it can't be disabled try deleting or renaming realsched.exe and then delete the entry in the registry

O4 - HKCU\..\Run: [internat.exe] internat.exe
Har du fået forklaring på

O4 - Global Startup: PKZIP Attachments Status.lnk = C:\Programmer\PKWARE\PKZIPO\PKTray.exe
Har du fået forklaring på

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37828.1450462963

Er til diskussion blandt spywarebekæmperne over hele verden. Nogle fixer den, andre gør ikke. Vi gør, og det sker der intet ved.

1. Jamen, jeg har skam købt og betalt Nortons anti-virus - alligevel var det Panda, som fandt hxdef073.exe jf. 26/07-2003 00:33:14. Hvilken betalbare trojanscanner dur?

Fixer...

Dumme jeg har fixet i.h.t. liste, men uden lukkede vinduer, og kun de argumenterede er slettet fra backup. Virus er der stadig. Log fra hijackthis efter reboot:
Logfile of HijackThis v1.95.0
Scan saved at 19:37:02, on 26-07-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Oracle\OraNt8I\BIN\TNSLSNR.exe
c:\oracle\orant8i\bin\ORACLE.EXE
C:\Oracle\OraNt8I\BIN\OWASTSVR.EXE
C:\Programmer\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmer\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\usrbridg.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\ltcm000c.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programmer\TrojanHunter 3.5\THGuard.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ConnectState.exe
C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ECTaskScheduler.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programmer\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Documents and Settings\sd.CON\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.dn.no/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [XircWinModem4] ltcm000c.exe 9
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmer\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.5\THGuard.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Link til PC Suite for Nokia 9210i Communicator.lnk = C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ConnectState.exe
O4 - Global Startup: PC Suite for Nokia 9210i Communicator Opgavestyring.lnk = C:\Programmer\Nokia\PC Suite for Nokia 9210i Communicator\ECTaskScheduler.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.virtuel-sag.kk.dk/qp2.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4280/mcfscan.cab

1. Hvor mange dages kamel-ridt er I fra Ishøj?
2. Er problemerne ikke ved at være så specifikke, at vi ligesåvel kunne fortsætte på Jers forum - jeg mener, vi snyder vel ikke nogen eksperten.dk-brugere ved det?

Nej du snyder ingen ved at gå direkte til vores eget forum så gør du bare det nu.

Vi bor henholdsvis på fyn og midt samt sønderjylland, så lidt langt væk fra dig må vi jo nok sige vi er. Smid din log i forum. Vi ses der.

Hej.

Jeg har lige kastet log2 her, men går nu på Jeres forum for at fortsætte. Over and out?

OK.

Ok. Kast også log 2 ind i forum. For evt. andre som gerne vil følge med i det videre forløb er det en god ide hvis du kopierer adressen herind. Så har dem fra eksperten som har lyst til at se slutningen en chance for det.

Hej alle interesserede, inklusive de kriminelle af Jer, som ønsker at kunne...

Nå, nok om det: Vi fortsætter på:

http://www.hostedstuff.com/services/forum/?id=1903&group=4&thread=9057

fundet på dagens bedste hjemmeside, www.spywarefri.dk

CU'round.

Kan man ikke bare højreklikke og "åbne i nyt vindue"?

Hov, den kommentar røg ind på et forkert vindue, så det skal man nok passe på med, øv