/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
'KOPI' af systemmappe i c:\Temp ???
Fra : molokyle
Vist : 565 gange
239 point
Dato : 13-12-04 16:17

Jeg får hele tiden en kopi af mappen : [Oversigt] ..med undermappen : [History IE5] ..med endnu en mappe : [MSHist01 XXXXXXXXXXXXXXXX] ..og det er sket inden for de sidste par dage !

Mappene ligger (..dog ikke identiske; i C:\Windows\ ) ...Mystisk !

Jeg kan på visse tidspunkter slette mapperne, (..nogen gange bli'r jeg; Adgang nægtet), men de dukker sgu op igen med nye Time-Stamp's, der stemmer overens med sidste gang IE var åbnet

Jeg bruger Win98 SE (Dansk) ..med ALLE opdateringer !
Sygate Firewall, AVG anti-virus, SpywareBlaster, Adaware og TweekNow RegCleaner fuldt opdateret ..og ingen melder en lyd

Ps. Jeg fik for nogle dage siden en 'orme advarsel' af AVG på en eller anden obscur crack side, selvfølgelig i anden forbindelse , og nægtede adgang til omtalte objekt, men Sygate Firewall gik Amok og i Selvsving (trashing) selvom process oversigten i Windows sagde; en process Sygate's *.exe = Smc.exe ikke svarede ? ...mere Mystisk ?

AAaarrrrrrrgggggghhhh.... ! </MOLOKYLE>

 
 
Kommentar
Fra : tedd


Dato : 13-12-04 16:25

Du kunne jo prøve med en hijackthis logfil?

Men jeg tror nu mest på at det er Julemanden der sidder fast i din PC!!

Kommentar
Fra : molokyle


Dato : 13-12-04 16:34

tedd -> Nåeh... så du ku' snage i, hvad jeg har installeret ?

Næeh... jeg tænkte på om der uforvarende er blevet lagt et ondsindet 'Reg. Tweak' ind et sted, som ingen af mine 'sikkerheds' programmer har fanget ? (..burde overveje at skifte fra Adaware til Spybot S&D ? )

..en eller anden ting der 'spejler' system mapper og kun lægger en *.dat fil ned i disse 'KOPI' mapper ?

Aner iøvrigt ikke hvad denne *.dat fil indeholder ?

</MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 16:37

...eller er det en indstilling af, hvor Historikken ska' gemmes. Hvis, så ved jeg bare ikke, hvor jeg skal finde denne indstilling

</FORVIRRET>

Kommentar
Fra : molokyle


Dato : 13-12-04 16:40

Lige nu kan jeg flytte mappene til papirkurven, men kan ikke slette dem (..er i brug !)

Hvis jeg booter kan jeg godt slette dem ...til jeg åbner explorer, ...så er de der igen

</MOLOKYLE>

Kommentar
Fra : bentjuul


Dato : 13-12-04 16:51

Du kan da bare sende en HiJack-logfil direkte til www.arlet.dk via hans mail, selvom vi da gerne vil snage lidt i din logfil

//bentjuul

Kommentar
Fra : tedd


Dato : 13-12-04 16:52



Kommentar
Fra : tedd


Dato : 13-12-04 16:53

Den der mappe den opretter er den shared?

Kommentar
Fra : molokyle


Dato : 13-12-04 17:15

tedd -> Nope. Jeg har heller ingen net-service's til lokalnetværket i form af NETBUI eller andet. Kun ren TCP/IP og næsten ALT er spærret via Sygate.

Så det må være en reg. henvisnings ting, så vidt jeg ka' dømme, men jeg er ikke så stærk i den side af sagen

Altså : [Oversigt] ligger som normalt i c:\windows og indeholder historien over besøgte link.

[Oversigt] i c:/temp bliver dannet når jeg går på nettet med explorer. Lader jeg IE's starside være about:blank, bliver mappen ikke dannet, før jeg besøger en fremmed URL p´å nettet.

Undermappen til denne c:\temp\oversigt mappe : History IE5 har intet at gøre med mappen history i c:\windows ???

index.dat filen i det tidsangivne bibliotek MSHist01 indeholder :

Kode
Client UrlCache MMF Ver 5.2 € € 2 € AC tems Di Imagin 4:07:08 4:24  0220 578 ð ´ ¼       0 S
LEAD T logies V1.01 ÿ ´ ð! ÿÛ „      
   




  
     ÿÄ ¤       

???

</MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 17:27

uLead Technologies ? Hvad er det nu lige det er ?

..mere fordi jeg ikke gider lede

</DOVENRAD>

Kommentar
Fra : tedd


Dato : 13-12-04 17:28
Kommentar
Fra : tedd


Dato : 13-12-04 17:29

Ulead photo explorer? De laver vist osse webværktøj!

Kommentar
Fra : molokyle


Dato : 13-12-04 17:43

Hmm.... snavs tilsyneladende spyware ..enormt meget hjælp at hente her : http://alphaworks.ibm.com/tech/urlcache

Graver lidt dybere, nu da det åbenbart ikke bare er mig der har rodet med nogle indstillinger jeg ikke har forstand på !

</TÆNKEBOX>



Kommentar
Fra : molokyle


Dato : 13-12-04 17:48

tedd -> Ps. Jeg ejer ikke ét uLead produkt og mindes heller ikke at have haft noget installeret. Navnet dukkede blot op i index.dat filen (..kunne jeg gætte mig til) og jeg mindes at have hørt navnet et sted.

</MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 17:59

Jeg fandt et lign. spørsmål på ExpertsXchance , hvor jeg mærligt nok ligger som bruger : molokyle

..intet svar, men her er ExpertsXchance metode til at lukke åbne spørgsmål :
Citat
'Administrative Comment from turn123
Date: 02/25/2004 03:34AM PST
Administrative Comment


Hello,

This question has been classified as abandoned. I will make a recommendation to the moderators on its resolution in the next few days.

EXPERTS: Please make a recommendation on how you feel the question should be closed. If you feel you deserve points here, but don't care to respond, the question might very well get DELETED.

ASKER: Please return and finalize this question. Abandoning a question is in violation of the member agreement. If the asker does not know how to close the question, the options are here:
http://www.experts-exchange.com/help.jsp#hs5

Thank you,

Turn123
EE Cleanup Volunteer

Administrative Comment from turn123
Date: 03/02/2004 09:40AM PST
Administrative Comment


I will leave the following recommendation for this question in the Cleanup topic area:

Accept: Analog_Kid {http:#10261825}

Please leave any comments here within the next four days.

Turn123
EE Cleanup Volunteer

Administrative Comment from modulo
Date: 03/06/2004 05:31AM PST
Administrative Comment


Forced accept

modulo
Community Support Moderator


...et eksempel til efterfølgelse Kandu.dk Team ???

</MOLOKYLE>

Kommentar
Fra : emesen


Dato : 13-12-04 18:56

Prøv lige at starte i fejlsikret tilstand.................og fjern det.

Kommentar
Fra : molokyle


Dato : 13-12-04 19:12

emesen -> Fjerne hvad ?

</MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 19:14

index.dat begynder stadig med : Client UrlCache MMF Ver 5.2 ..men resten af inholdet ændres.

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 13-12-04 19:15

windows98 selvfølig

Kommentar
Fra : molokyle


Dato : 13-12-04 19:23

Så er det godt tedd

*KMPLAG* = Klasker Mig På Lårene Af Grin



</MOLOKYLE>

Kommentar
Fra : emesen


Dato : 13-12-04 19:35

Citat
Lige nu kan jeg flytte mappene til papirkurven, men kan ikke slette dem (..er i brug !)

det var denne jeg tænkte på.
Du kunne også brække IE5 af og så rulle din 98 ind igen.



Kommentar
Fra : tedd


Dato : 13-12-04 19:35

Den der KMPLAG skal jeg lige huske!

Accepteret svar
Fra : tedd

Modtaget 239 point
Dato : 13-12-04 19:41

I'll only say this once! Molo you got dirt!!

Kommentar
Fra : molokyle


Dato : 13-12-04 19:45

emesen -> Jeg bruger IE6 6.0.2800.1106 ...og har næppe 5'eren liggende at flyde. Jeg har slettet :

[Oversigt] ..med undermappen : [History IE5] ..med endnu en mappe : [MSHist01 XXXXXXXXXXXXXXXX] index.dat

..adskillige gange. Jeg får lov at slette, når jeg er off-line.

Nu prøver jeg at slette: c:\temp biblioteket og rem'e : set temp=c:\temp, samt; set tmp=c:\temp ud i min autoexec.bat

Dette burde sætte Win98 system temp til c:\windows\temp

..så ser jeg, hvad der sker

</MOLOKYLE>

Kommentar
Fra : emesen


Dato : 13-12-04 19:50

Ja - jeg har altså reddet mange '98 med en indrullering.

Kommentar
Fra : molokyle


Dato : 13-12-04 19:58

Hør nu :

Jeg fjernede ALLE henvisninger til c:/temp, tjekkede startfiler via msconfig.exe ...og nu ?

...blev biblioteket kræftstejlemig oprettet igen ...og der er altså ikke noget der hedder : Systemgendannelse i Win98 !!!

RASHGU ! </MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 20:04

tedd -> Snavs ja, men hvad, hvorhenne og hvordan fjerner jeg det ?

Lidt mere end Google link kunne være ønskværdigt

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 13-12-04 20:07

Hijackthis logfil?

Kommentar
Fra : molokyle


Dato : 13-12-04 20:30

Kode
Logfile of HijackThis v1.98.2
Scan saved at 20:07:32, on 13-12-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\SYGATE\SPF\SMC.EXE
C:\PROGRAMMER\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMER\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [VortexTray] C:\WINDOWS\au30setp.exe 3
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMMER\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\Programmer\NeoTrace Express\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\Programmer\NeoTrace Express\NTXtoolbar.htm (HKCU)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab


Hvis det er den dersens : NeoTrace Express ting du anbefalede engang så...

DRÆBE DRÆBE ...

</MOLOKYLE>

Kommentar
Fra : emesen


Dato : 13-12-04 20:40

Den der Neotrace - var det ikke den du skulle bruge til at finde mailadresser o.l.

Kommentar
Fra : molokyle


Dato : 13-12-04 20:53

emesen -> Nøeh... til at finde servere i hvilke lande. Vidste du at f.eks. http://www.w3schools.com jeg benytter meget; er et Norsk site ?

Fin lille ting den Neotrace dersen dér. Jeg har selvfølgelig Sygate til at holde øje

..det er kun når jeg søger med Neotrace, jeg tillader adgang til nettet og kun for denne ene session ad gangen

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 13-12-04 21:43

neotrace er et ok program!

Det eneste jeg kan slå ned på der er lidt mistænkelig er wmiexe.exe
http://www.iamnotageek.com/a/wmiexe.exe.php

Kommentar
Fra : tedd


Dato : 13-12-04 21:44
Kommentar
Fra : tedd


Dato : 13-12-04 21:45

den burde ligge i system32 mappen!

Kommentar
Fra : tedd


Dato : 13-12-04 21:51

Hmm? Tror jeg har fundet noget!
http://securityresponse.symantec.com/avcenter/venc/data/w32.torun.html
prøv lige at søg efter en fil der hedder LockDLL.dll

Kommentar
Fra : tedd


Dato : 13-12-04 21:54

prøv lige at køre en online skanning med begge de to bruger!

Kommentar
Fra : molokyle


Dato : 13-12-04 21:55

LockDLL.dll -> Der er ingen objekter at vise.

Alt søgt igennem.

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 13-12-04 21:55

Panda og housecall mente jeg

Kommentar
Fra : molokyle


Dato : 13-12-04 21:56

Prøver lige en housecall. Det ta'r et stykke tid !

</MOLOKYLE>

Kommentar
Fra : molokyle


Dato : 13-12-04 22:46

22 inficerede filer (nogle pakkede) :

JAVA BYTEVER A
JAVA BYTEVER A-1

'non-removable' ..så de blev slettet

..ikke; at det har gjort nogen forskel !!!

</???>

Kommentar
Fra : molokyle


Dato : 13-12-04 22:48

Ps. ...orker ikke Panda

Sidst jeg prøvede tog det 31 TIMER !!!

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 13-12-04 23:59

geninstaler IE


Kommentar
Fra : molokyle


Dato : 14-12-04 01:00

tedd -> Hvorfor ?

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 14-12-04 01:24

Hvis det ikke er ormeangreb må det da være IE der kokser!

Kommentar
Fra : molokyle


Dato : 14-12-04 01:39

IE virker tilfredstillende og upåklageligt, men en eller anden indstilling eller et eller andet snavs, danner mappen c:\temp (..med lille 't').

Hvis jeg selv laver en mappe Temp (.. med stort 'T') lægges [Oversigt] også der !

Skal ærligt indrømme; jeg aldrig har oplevet dette før. Jeg ved at hvisse programmer, som default ...eller, hvis man selv angiver det; har en start mappe, et mappe at gemme/hente i osv... , men jeg har ikke før været ude for en mappe med et systemnavn og atributter optræder som : c:/temp !!! Standard temp biblioteket i Win98 hedder C:\Windows\Temp

...men wmiexe.exe ligger i c:\windows\system og ikke i c:\windows\system32 ...der forøvrigt ikke er meget at hente i = 4.5 Mb. mod System's 215 Mb.

Tids-stemplet for wmiexe.exe stemmer overens med resten af mine systemfiler til min ver. af Win98 SE !

05-05-99 22:22

</MOLOKYLE>


Kommentar
Fra : tedd


Dato : 14-12-04 01:57

Hvilken mappe smider windoze dine midlertidige internetfiler i?

Prøv at se inde under internetindstillinger i browseren

Godkendelse af svar
Fra : molokyle


Dato : 14-12-04 12:06

Et noget tyndbenet svar tedd, men nok det der kommer nærmest virkeligheden

Problemet er løst

Efter at have fjernet trojanerne med housecall tjekkede jeg, hvor midlertidige internet filer lå. De lå hvor de skulle. Jeg bestemte så de forsøgsvis skulle ligge i c:\Temp og REBOOTEDE. Derefter flyttede jeg dem via IE's indstilliger tilbage til Windows biblioteket. Nu blev de der hvor de skulle og der er ikke siden dukket noget mystisk op i c:\Temp. Jeg har så selvfølgelig tjekket om der forgår mystiske ting i IE's systemmapper, men alt er tilsyneladende i den skønneste orden.

Jeg kan ikke forstille mig andet end at jeg har reddet mig de to trojanere på den dersens crackside jeg besøgte for nogle dage siden. AVG advarede mod en eller anden orm og jeg takkede som sagt nej til at køre objektet. Jeg havde imidlertid tilføjet URL'en til fortrukne og efter en fuld scan med Adaware bad den mig om at fjerne denne henvisning og det gjorde jeg. Trojanerne er imidlertid blevet hængende og dem har AVG ikke fanget. Min Sygate firewall ej heller ..ikke særligt betryggende, bortset fra det betyder; de næppe har konnektet til internettet uden min viden.

Jeg er ikke helt sikker, men jeg mener omtalte trojanere benytter JAVA's loader objekt for at åbne en bagdør, når en applet eller en executable *.jar fil køres ..selv offline

..anyway : Tak for hjælpen

</MOLOKYLE>

Kommentar
Fra : tedd


Dato : 14-12-04 12:39

Øh hvad var det for en side igen?

Kommentar
Fra : molokyle


Dato : 14-12-04 12:47

Det har jeg sgu glemt, men crackworld ..eller noget i den retning

</MOLOKYLE>

Kommentar
Fra : emesen


Dato : 14-12-04 16:08

Tedd's fejlfrie Engelsk bør have mere end 1 *------------så herfra ***

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste