Ændring af mail-konti

Hen og kør HijackThis og smid en logfil her - så kommer der nogen og kigger på den.

http://www.spywareinfo.com/~merijn/

De to mails du har fået er virusser....

det er en mytob virus, og den finder avg ikke...

Du kan læse lidt mere om dem på device.dk/virus.asp

Her kommer min HijackThis log-fil:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:45, on 11-07-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\LOGITECH\ITOUCH\ITOUCH.EXE
D:\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
D:\SKYPE\PHONE\SKYPE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
D:\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\LEXAREJ0.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NOTEPAD.EXE
D:\SIKKERHED\SPYWARE - VæRKTøJ\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dvoracek.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Necutray] LEXAREJ0.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [AudioHQ] D:\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientWin98SENoMFC.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Din HJT-log er ren.

At du modtager disse emails, og at passwordet ser ud til at være længere, end du har indtastet er ikke alarmerende. Disse emails sendes ofte ud med en falsk afsender. Og passwordets længde skjules ofte ved at vise flere tegn, end der faktisk findes (for at en evt. hacker ikke skal kunne gætte længden).

Det eneste der undrer mig er, at "server-navnene for ind- og udgående mails er blevet ændret." Er de blevet rettet således at de slet ikke peger på din oprindelige udbyder? I givet fald, vil det kunne tyde på et hackerbesøg, som der imidlertid ikke er yderligere spor efter i loggen.

Dit antivirus-program er godt nok, men hvis du har haft hackerbesøg skal du have en bedre firewall. På det område er jeg ikke ekspert, men jeg ved at mange supplerer deres hardware-firewall med en software-ditto. Der findes vejledning og link til en god og gratis software-firewall her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=9706

Angående den hardware-firewall du nævner, så kan jeg heller ikke her give et kvalificeret modspil, men jeg har dog hørt at de firewalls der er indbygget i routere generelt set ikke er de allerbedste...

Servernavnene plejede at være TDCs normale mail-servers (dvs. pop3.mail.dk og SMTP.mail.dk), men disse er nu blevet erstattet af to (identiske) IP-adresser.

Nogen forslag til hvordan jeg ryder op efter dette, når HJT nu ikke viser nogle problemer? Kan jeg blot ændre serverne tilbage igen? Hvad med password og kontonavn?

Jeg synes du skal prøve at slå ip-adresserne op, og se hvem de tilhører:
http://www.arin.net/

Du kan sagtens bare ændre det tilbage igen, men hvis det ser skummelt ud med ip-adressernes ophav (ip-en KAN jo også bare pege mod de oprindeligt indtastede adresser), synes jeg du burde overveje at få ændret dine passwords, idet en mulig hacker jo også kan have været inde og aflure passwords.

Det er en organisation i Marina Del Rey i Californien ved navn IANA, der ejer IP-adresserne, men det siger ikke mig så meget. Siger det nogle af jer andre noget?

Det siger heller ikke mig noget. Du kan jo prøve at lægge ip-adresserne herind i tråden, så kan du se om der er nogen, der kan sige noget mere kvalificeret. Hvis ikke, synes jeg det tyder på, at du har haft "besøg" på din computer, og jeg vil derfor råde dig til at tage de nævnte forholdsregler.

IP-adresserne er 127.0.0.1.

Det skal lige tilføjes, at jeg fortsat modtager og kan afsende e-mails som normalt.

Det bliver mere og mere mystisk! Denne ip-adresse peger på din egen computer!! Derfor burde du faktisk ikke kunne modtage og sende emails gennem det pågældende post-program. Er du sikker på, at du kigger på det rette sted, og at det er det rigtige postprogram du kigger i?

Jeg bruger Outlook Express, og det er i det program, jeg har kigget under Accounts. Jeg har checket samme sted, som da jeg oprindeligt satte min PC op.

Hvordan kan du afgøre, at den peger mod min egen comp?

Det er fordi det er en standard-adresse, som computeren altid er defineret til at have. Om den kan omdefineres, er jeg faktisk ikke helt sikker, men prøv at kigge i din hosts-fil (finder du ved at starte HJT, vælge Open the Misc Tools selection, Open Hosts file manager). Her skulle der gerne være én linie, der starter med den IP-adresse, og som efterfølges af "localhost" -- altså:
127.0.0.1    localhost

Det er kun hvis der er andre der starter med den ip-adresse, det kan være skummelt.

Jeg har kørt en online-scanner, som fandt 8 inficerede filer. Jeg håber, at det er dem, der har været årsag i misæren. Derfor retter jeg nu adresserne tilbage og ændrer password'et og satser på, at dette er nok til at råde bod på det hele.

Tak for hjælpen.

Det var så lidt. Jeg takker for point.