Notifikationer

Markér alle som læst Log ud

chalde Seniormester

12. december 2003 - 14:17 Der er 16 kommentarer og
1 løsning

tskmg.exe virus? Eller hvad?

Jeg har en tskmg.exe kørende i joblisten (IKKE taskmgr.exe)
Den ligger desuden flere steder i regdb.
Den ligger i c:\windows\system32
Hvad er dette?
Har søgt lidt på google, og kun fundet dette:
http://www.tweakxp.com/forum/forum_posts_view.asp?TID=7071
Hvor der ikke rigtig er nogen anden konklusion end at den skal væk, og at det formentlig er en trojaner.

Jeg har Windows xp pro, fuldt opdateret.
Panda online finder ingenting, det samme med min norton internet security 2003 (fuldt opdateret)
Adaware giver ingen reesultater (andet end de sædvanlige cookies), det samme med spy bot s&d.
Mistænker det for at være en trojaner eller ligende, da den meget gerne vil på nettet (hvilket jeg blocker med norton).
Dato for oprettelse af filen er 29. maj 2003, hvilket er umuligt, da jeg har formateret flere gange siden. Men det skal man jo heller ikke ligge noget i (datoen på filen).
Den er rimelig ny (tror jeg), da jeg ofte kigger joblisten igennem for "skumle" ting, og har først lige (igår) lagt mærke til den.

Så hvad er det, og hvor stammer det fra, og hvordan er det kommet ind?
Og hvordan kan jeg være 100% sikker på at den er væk efter at have fjernet filen, samt alle entries til den i regedit.

Synes godt om

chalde Seniormester

12. december 2003 - 14:20 #1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winsockdriver
hvori der er entries til tskmg.exe, synes jeg er lidt skummel

Synes godt om

chalde Seniormester

12. december 2003 - 14:28 #2

Nu er alt med henvisninger til tskmg.exe fjernet i registreingsdb, samt filen slettet.
Ingen tskmg.exe i joblisten mere.
Men kan jeg være sikker på at skidtet er væk, da den åbenbart godt kan lide at kalde sig for winsockdriver?

Synes godt om

arlet Juniormester

12. december 2003 - 14:29 #3

Smid lige en hijackthis herind, så er det lidt nemmere at se

Hent hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

Synes godt om

chalde Seniormester

12. december 2003 - 14:30 #4

Logfile of HijackThis v1.97.7
Scan saved at 14:30:32, on 12-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Motherboard Monitor 5\MBM5.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\WinBar\WinBar.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\Chalde\LOKALE~1\Temp\Rar$EX00.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programmer\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://gis.aarhus.dk/Mapguide%20viewer/v63/mgaxctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37928.259224537
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/English/bin/npseatools.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Winbar er et program jeg selv har smidt ind.

Synes godt om

arlet Juniormester

12. december 2003 - 14:34 #5

Der var lidt efterladenskaber*S*

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Synes godt om

snowball Novice

12. december 2003 - 14:42 #6

Undskyld jeg lige blander mig, men arlet, jeg har aldrig forstået hvorfor i fjerner Shockwave og lignende plugins !? Hvilken trussel udgør de?

Snowball

Synes godt om

chalde Seniormester

12. december 2003 - 15:00 #7

Logfile of HijackThis v1.97.7
Scan saved at 14:56:58, on 12-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Motherboard Monitor 5\MBM5.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\WinBar\WinBar.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmer\WinRAR\WinRAR.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Chalde\LOKALE~1\Temp\Rar$EX01.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programmer\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://gis.aarhus.dk/Mapguide%20viewer/v63/mgaxctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37928.259224537
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/English/bin/npseatools.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab var fra www.kortal.dk, men fjernede den lige, og gik ind på kortal igen.

Men mit spørgsmål var egentlig også. Hvor kommer filen fra? Og hvordan er den kommet ind?

Jeg smutter lige et par timer, men kommer igen senere.

Synes godt om

arlet Juniormester

12. december 2003 - 15:00 #8

Har lige rådført mig med Aovergaard for at være sikker og først og fremmest er grunden at de store kanoner overthere fjerner den.
Grunden til at den bliver slettet er at alt Active X Control jo er noget man skal passe på, især i Explorer som jo ikke er særlig sikret..

Synes godt om

arlet Juniormester

12. december 2003 - 15:02 #9

Du er ren og kan aktiver din systemgendannelse igen

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Ang filen søger jeg lige lidt på den og vender tilbage

Synes godt om

chalde Seniormester

12. december 2003 - 15:04 #10

Er ikke helt grøm arlet :-)
Men tak for info alligevel. Håber du finder lidt om filen.
Evt informer aovergaard eller de andre om det. Kan være de kender til den. Synes den er lidt skræmmende, da den ikke findes af hverken adaware, spybot, norton eller panda, og samtidig er meget glad for at gå på nettet.

Synes godt om

chalde Seniormester

12. december 2003 - 15:08 #11

Og forresten, heller ikke af trojan hunter.

Synes godt om

magictouch Nybegynder

12. december 2003 - 17:02 #12

Du kan finde lidt om den her: http://www.tweakxp.com/forum/forum_posts_view.asp?TID=7071

Synes godt om

snowball Novice

12. december 2003 - 17:04 #13

magictouch: Har du overhovedet læst hele spørgsmålet !? chalde linker jo selv til den side ;)

arlet: Hvis din kommentar 12/12-2003 15:00:54 var et svar på mit spørgsmål, så kan jeg da godt forstå at ActiveX'er ikke er verdens sikreste ting, men jeg kan ikke rigtig se hvordan Flash, Shockwave og den slags kan være en direkte trussel ;)

Snowball

Synes godt om

arlet Juniormester

12. december 2003 - 20:15 #14

Snowball: Perhaps kom også med lidt informationer:
Shockwave kommer fra Macromedia. Når man har snavs på pc'en som fjernes med hjt så kan man aldrig rigtig vide hvordan det er kommet ind. Det kan sagtens være en dårlig ActiveX hvor Shockwave er et af værktøjerne. Man har derfor besluttet at fjerne den 166 så er der foreløbig lukket for at der umiddelbart efter skulle komme snavs ind fra den kant. Nu er det jo sådan at 016 næsten altid gendannes så det vil den 166 også. Man har bare sagt at nu fjerner vi midlertidigt vejen, for vi skal jo først have fjernet diverse servere og andet skidt som ligger på pc'en. Så kan den godt senere dukke op igen. Man kan udmærket bruge Shockwave alligevel.

Synes godt om

arlet Juniormester

12. december 2003 - 20:24 #15

Chalde -> Angående din fil, så mener vi at det er en ny trojaner, herfra november/december det ville man kunne se ud fra hvor den lå i regedit, men det er forsent nu*S*

Synes godt om

chalde Seniormester

12. december 2003 - 22:15 #16

Det ville jeg også tro. Eftersom den har nogle af "egenskaberne".
Jeg skulle bare have den væk :-)
Men jeg har ingen anelse om hvor den kommer fra.
Mine forbindelser til nettet som mest er på:
mirc
icq
steam
messenger
og windåsen :-)

Synes godt om

chalde Seniormester

18. december 2003 - 00:20 #17

Må hellere lukke her.
Går ud fra at det er en trojaner, og at den er væk.
Men tak for støtten :-)

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS