HiJack log

Loggen er ren

Dette plejer at hjælpe..

Start – kør – skriv: msconfig – fanebladet start – fjerne vingen ud for den, der ikke skal starte op.

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

Arlet - er du ik sød at forklare hvilken processor du lukker ned ved at gøre dette, og hvad den bruges til.

Denne skal fixes
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\Program\BackWeb-7791805.exe
slet filen i fejlsikret eller med killbox http://home8.inet.tele.dk/fbj/ASW.htm

ny log tak...

Hvorfor slette opdateringen til sikkerhedspakken?
Hvorfor TDC så vælger at bruge Backweb er mig en kilde til stadig forundring.

-<Fromsej Denne skal vist ikke slettes?
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
ref http://computercops.biz/StartupList.html

C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\Program\BackWeb-7791805.exe
Ok det vidste jeg ikke - den skal så heller ikke slettes?

Bare underligt - jag kan ikke finde noget info på denne fil: BackWeb-7791805.exe - hvilket fik mig til at tro at det var snavs...?
Der må da være flere i landet som har den sikkerhedspakke?

Arlet -hvorfor kom du egentlig ikke til hardwarekast?

Nej, den backweb skal blive.
Ctfmon kan roligt deaktiveres i MSconfig, den skal ikke fixes.

->fromsej Det er bare mærkeligt at den ikke er set før den fil, men hvis du mener den er ok accepterer jeg det- det er jo dig der er troldmanden.

->Micca Så skal du lige gendanne de fíler med hijackthis backup helt tilbage til udgangspunktet. Du går i hijackthis - config - backups- marker dine backup og restore.
Når loggen er komplet igen går du i kør og skriver msconfig - startup- fjern hak i ctfmon.exe

dannyboyd > I http://www.eksperten.dk/spm/495953 fjerner Arlet heller ikke denne backweb. En hurtig søgning på nettet, fortæller at f.eks Logitech og Kodak også bruger backweb. Du har ret i at den KAN bruges som spyware, men i dette tilfælde er den distibueret sammen med webspeed, og så borger tdc for at det ikke er spyware.
(Havde den ikke ligget der ville jeg også have været mistænksom) *s*

Lidt info fra pestpatrol: http://www.pestpatrol.com/PestInfo/B/Backweb.asp

-> Ok så er det bare fordi at jeg er vant til at se det i forbindelse med spyware, og arlet kunne jo også have overset det hvis det var.
Men tak for at slå det fast.

fromsej, post venligst et svar det må være dig og arlet der deler. Tak for hjælpen til alle.

Michael

Og så bare lige for en god ordens skyld Log nr. 2

Logfile of HijackThis v1.98.2
Scan saved at 21:44:09, on 16-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\Analog Devices\SoundMAX\Smax4.exe
C:\Programmer\Microsoft IntelliType Pro\type32.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\WEBSPE~1\backweb\7791805\Program\SERVIC~1.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\program\fsbwsys.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fssm32.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\Program\BackWeb-7791805.exe
C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMB32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FCH32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FAMEH32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\DFW\Program\fsdfwd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michael\Skrivebord\VIRUS & SPYWARE\HiJackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [type32] "C:\Programmer\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\WebSpeed Sikkerhedspakke\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LFAgent] C:\Programmer\Everstrike Software\Lock Folder XP 3.3\LF30.exe -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx

Hov, forkert computer!

Ny log:

Logfile of HijackThis v1.98.2
Scan saved at 09:04:54, on 17-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\FSRremoS.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\Pelmiced.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\PROGRA~1\WEBSPE~1\backweb\7791805\Program\SERVIC~1.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\program\fsbwsys.exe
C:\Programmer\WebSpeed Sikkerhedspakke\backweb\7791805\Program\BackWeb-7791805.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fssm32.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSMB32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FCH32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\WebSpeed Sikkerhedspakke\Common\FAMEH32.EXE
C:\Programmer\WebSpeed Sikkerhedspakke\DFW\Program\fsdfwd.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\putte\Skrivebord\Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\WebSpeed Sikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\WebSpeed Sikkerhedspakke\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE

Den backweb fra TDC som omtales længere oppe er TDC's måde at opdatere på og den backweb er så en undtagelse som ikke skal slettet, m e n det er en meget besynderlig og simpel måde at opdatere en sikkerhedspakke på. Jeg kender ikke andre der opdaterer en sikkerhedspakke på den måde.

Nej den streng skriger i mine øjne...
->Micca dín log er ren, du kan med fordel disable denne i opstart fra msconfig.
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

husk at aktivere systemgendannelse igen.

dannyboyd -> Jeg skulle desværre på arbejde, og det var frivillig tvang...

micca ->Som jeg skrev så må du endelig ikke slette CTFMON.EXE, men kun deaktiver den msconfig..

Vi venter på Fromsej med et svar*S*

Kommer her.*S*

Tak for point. :o)