Tjenesten Messenger Alert og System Error

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord
http://downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis
eller
http://www.downloadportal.dk/showdownload.asp?rid=4234&sp=title

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker

alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.

spm.1>> jeg har aldrig selv oplevet den... har du sp2? kan være det er en del af sp2 men finder vi ud af ud fra loggen håber jeg.

spm.2>> finder vi måske ud af via. din log:)

spm.3>> ja det er i hvertfald normalt at der sendes selv om alt er lukket, men skulle gerne være meget meget lidt.

Slå windows messenger servicen ihjeld.

Klik start | kør, skriv services.msc og tryk enter.
Find tjenesten messenger, højreklik den og vælg stop.
Højreklik den igen og vælg egenskaber. I starttype vælger du "deaktiveret"
Klik anvend og ok.

1. ja, det er det, men bruges ikke på private pc'ere.
2. Måske, men det kan ses i loggen som kalp har bedt om.
3. Noget aktivitet er der altid, men du bør altid have firewall på internetforbindelsen.

Du bliver spammet med med popup reklamer fra tjenesten Windows Messenger. Du har intet at bruge den til og kan sagtens undvære den.

Selv har jeg deaktiveret/fjernet den med følgende kommando ra Start -> Kør

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

klik OK. (marker og kopier kommandoen med Ctrl+C og sæt den ind i kommandolinien med Ctrl+V).

Herefter vil du ikke opleve netaktivitet på grund af den, og der kommer ikke flere popup's.

Så er det gjort:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:39, on 02.03.05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
C:\Programmer\BullGuard\bdmcon.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\BullGuard\vsserv.exe
C:\Programmer\ScanSoft\PaperPort\PopUp\SmartUI.exe
C:\Programmer\ScanSoft\PaperPort\Config\Ereg\Remind32.exe
C:\Programmer\ScanSoft\PaperPort\Pplinks.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\HTA\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.byport.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Programmer\BullGuard\\bdmcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Påmindelse ScanSoft, Inc. produkt registrering.lnk = C:\Programmer\ScanSoft\PaperPort\Config\Ereg\Remind32.exe
O4 - Global Startup: Brother SmartUI PopUp.lnk = C:\Programmer\ScanSoft\PaperPort\PopUp\SmartUI.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107557853560
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E06C92E9-6C76-4DE5-B730-5A1EE9EB4E96}: NameServer = 193.162.153.164 194.239.134.83
O23 - Service: BullGuard Scan Server (bdss) - Unknown owner - C:\Programmer\Fælles filer\BullGuard\BullGuard Scan Server\bdss.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: BullGuard Virus Shield (VSSERV) - Unknown owner - C:\Programmer\BullGuard\vsserv.exe
O23 - Service: BullGuard Communicator (XCOMM) - Softwin - C:\Programmer\Fælles filer\BullGuard\BullGuard Communicator\xcommsvr.exe
O23 - Service: zzzxSYSTEM_32 - Unknown owner - C:\WINDOWS\System32\zzzxte.exe

mvh
p

okay ser på den:)

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

O4 - Startup: Påmindelse ScanSoft, Inc. produkt registrering.lnk = C:\Programmer\ScanSoft\PaperPort\Config\Ereg\Remind32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: zzzxSYSTEM_32 - Unknown owner - C:\WINDOWS\System32\zzzxte.exe

Find og slet

Filer

C:\WINDOWS\System32\zzzxte.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik det hele med eller om noget er blevet overset:)

Ps. det ikke alt der skal fikses som er snavs, men synes alligevel vi skal tage det med da det er unødvendigt

Kommet så langt, men mgl. at hente mwav.exe ned. Kan desværre ikke nå mere i aften, men fortsætter i morgen. Tak alle for hjælp hertil:-)

p

Der gik lidt længere tid end angivet i min sidste kommentar, men nu virker maskinen som den skal.
Send venligt nogle svar, så laver jeg lidt points-fordeling.

mvh

p

Her er mit svar ..

Her kommer kalps svar

Tak for hjælpen - håber I finder pointfordelingen retfærdig:-)

mvh
p

Velbekomme.

Mht pointfordelingen, så nej, men det er dit spørgsmål så det er dig der bestemmer.

Ret skal være ret! Når jeg ser mit spm. går det faktisk på Messenger, og den er blevet slået fra. Der var så også andet i vejen, som blev afhjulpet af kalp.
Jeg opretter et spm til dig på 45 p :-)

mvh
p

Det behøver du ikke.

Blot husk en anden gang at vurdere hvad du spurgte om og hvem der svarede på det du spurgte om. Hvis du vil kan du oprette et point spørgsmål til halifax som jo faktisk svarede samtidigt med mig, og var fuldstændigt enig med mig.

Nej, nej, ingen point til mig.  :)

Husker at jeg faktisk var nr. tre med at skrive en kommentar, men kom så til at rode rundt i samlingen af "guldkorn" for at finde kommandoen til deaktivering af messinger tjeneste, og i mellemtiden var så kommet kommantaren fra dig, Tonny. Havde jeg set den forinden, var der ingen grund til at "brilliere" med en anden fremgangsmåde til at opnå samme virkning.  :)