/ Forside / Teknologi / Operativsystemer / MS Windows / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Der er blevet installeret 'et-eller-andet'~
Fra : Lars


Dato : 19-10-05 17:31

Hej NG,

Der er sket ting og sager i min XP efter at min kære kone er kommet til at
klikke 'kør' i en eller anden boks der kom op
i forbindelse med noget spam på hendes web-mail.

Computeren blev meget langsom, blæseren kørte konstant osv. Efter genstart
et par gange var der først ingen umiddelbart synlige problemer, men nu
kommer de regelmæssigt igen.

Jeg kan se at følgende er ændret/oprettet i forbindelse med installationen:
(blot fundet i
stifinder ud fra tidspunkt)
c:\windows\2V417.scr
c:\windows\BA65M.exe
c:\windows\hToXQMJ.com
c:\windows\TDlCMJ.com
c:\windows\Polndo1.pgml
c:\windows\system32\trackmgr.exe
c:\windows\system32\drivers\2MvHGo.sys

Jeg har XP Home SP2 der er opdateret. Ændringerne er sket i en brugeradgang
uden XP admin rettigheder.
AVG free, Ad-ware og Spyboot har ikke fundet nogle fejl

Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
fungere bagefter?
Og er der nogle der kender det jeg her har fået inden for døren?

Mvh. og på forhånd tak
Lars

PS. Håber dette er korrekt NG



 
 
Ole C (19-10-2005)
Kommentar
Fra : Ole C


Dato : 19-10-05 17:52

Lars" <sendebud@"DenVarmePost skrev blandt andet:

> Jeg kan se at følgende er ændret/oprettet i forbindelse med
> installationen: (blot fundet i
> stifinder ud fra tidspunkt)
> c:\windows\2V417.scr
> c:\windows\BA65M.exe
> c:\windows\hToXQMJ.com
> c:\windows\TDlCMJ.com
> c:\windows\Polndo1.pgml
> c:\windows\system32\trackmgr.exe
> c:\windows\system32\drivers\2MvHGo.sys
>
> Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
> fungere bagefter?

De ser allesammen mistænkelige ud.
I første omgang kunne du jo prøve at flytte filerne til en midertidig mappe
og se om computeren stadig fungerer korrekt - og om filerne bliver
gendannet, måske under andre ligeså mærkelige navne.
--
vh
Ole C


Lars (19-10-2005)
Kommentar
Fra : Lars


Dato : 19-10-05 19:29


"Ole C" <ocl@fjerndettetdcadsl.dk> skrev i en meddelelse
news:43567998$0$41149$14726298@news.sunsite.dk...
> Lars" <sendebud@"DenVarmePost skrev blandt andet:
>
>>... msitænkelige filer i XP
>>
>> Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
>> fungere bagefter?
>
> De ser allesammen mistænkelige ud.
> I første omgang kunne du jo prøve at flytte filerne til en midertidig
> mappe og se om computeren stadig fungerer korrekt - og om filerne bliver
> gendannet, måske under andre ligeså mærkelige navne.
> --
> vh
> Ole C

Jeg har nu fjernet filerne og lagt dem i en anden mappe. Det eneste problem
jeg får ved genstart er at maskinen ikke kan finde: kBUoC.exe og at jeg i
givet fald kan slette referencen i registreringsdatabasen. Hvordan er det nu
lige man gør det uden at lave ulykker?

Jeg fjernede forøvrigt også mswinxp.exe (ikke nævnt i oprindelig indlæg) da
den var dannet umiddelbart før de mærkelige filer (og måske var
'installationsprogrammet'?). På trods af det 'officilt udseende' navn tror
jeg ikke den har noget med den oprindelige XP at gøre. Google gir
ingenting - eller er der nogen der ved bedre?

Jeg kan forøvrigt også se at programmet havde mutipliceret sig selv så det
ligge adskillige .exe og .com filer med samme størrelse (858 KB). Her
studser jeg så over at de senest tilkomne står som 'ændret' i stifinder på
samme tidspunkt som det oprindelige, selvom det står som 'oprettet' på et
senere tidspunkt.

Tak til Ole for input såvidt...
Mvh.
Lars



Mikael Nørrelund And~ (19-10-2005)
Kommentar
Fra : Mikael Nørrelund And~


Dato : 19-10-05 22:03

Lars" <sendebud@"DenVarmePost wrote:
> slette referencen i registreringsdatabasen.
> Hvordan er det nu lige man gør det uden at lave ulykker?

Jeg ville fjerne fluebenet udfor filen i msconfig -> Start eller
i startmenuen under start.

--
Mvh.
Mikael Nørrelund


Kim Schroeder (24-10-2005)
Kommentar
Fra : Kim Schroeder


Dato : 24-10-05 22:07

Prøv at se her:
http://www.webuser.co.uk/forums/ubbthreads.php

gå til det forum som hedder HijachThis logs.
Næstøverste posting forklarer vedrørende programmet.

Kør programmet og indsend loggen - efter at du har oprettet
dig som bruger (New user registration).

Fik renset min svigerfars PC (Win XP) som var masende fyldt
med ubehagelige ting og sager, som ingen andre programmer
havde kunnet opdage.

Siten kan varmt anbefales - der findes også en dansk tilsvarende,
men prøv nu den engelske først - de er utroligt flinke og dygtige.


Kim



Kim Schroeder (29-10-2005)
Kommentar
Fra : Kim Schroeder


Dato : 29-10-05 04:22

Fik du løst problemet ?
Opgiver at finde ud af din rigtige mailadresse - ellers ville jeg have
sendt dig en mail.

Kim



Mikael Nørrelund And~ (29-10-2005)
Kommentar
Fra : Mikael Nørrelund And~


Dato : 29-10-05 07:40

Kim Schroeder wrote:
> Fik du løst problemet ?
> Opgiver at finde ud af din rigtige mailadresse - ellers ville
> jeg have sendt dig en mail.


Hehe, mon ikke den varme adresse er hotmail og mon ikke .invalid
skal fjernes :)

--
Mvh.
Mikael Nørrelund


Kim Schroeder (29-10-2005)
Kommentar
Fra : Kim Schroeder


Dato : 29-10-05 18:16

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> skrev i en meddelelse news:4363186b$0$78287$157c6196@dreader1.cybercity.dk...

> Hehe, mon ikke den varme adresse er hotmail og mon ikke .invalid
> skal fjernes :)
>

Ahh ok, så langt rakte min fantasi ikke :)

Kim



Lars (31-10-2005)
Kommentar
Fra : Lars


Dato : 31-10-05 15:16

"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:4362eacd$0$47032$edfadb0f@dread15.news.tele.dk...
> Fik du løst problemet ? ...klip
> Kim

Hej Kim,

Ja, jeg fik løst problemet og fandt såmænd også ud af hvilken virus det
var - med hjælp fra virus.NG'en:

"Peter Kruse" <kruse@nogoodtimetodoso-kruseonline.dk> skrev i en meddelelse
news:43579414$0$142$edfadb0f@dread11.news.tele.dk...
> Hej Lars,
> ...klippet...
> Ja, der er desværre tale om skadelig kode. En "Delf" variant.
> Fil: mswinxp.exe Delf-dropper (årsagen til din kompromitterede PC)
> ...modificerer herefter registreringsdatabasen med en runas værdi, så
> koden aktiveres efter en genstart af systemet:
>
> HKLM\Software\Microsoft\Windows\CurrentVersion\Run=
> "filesys"="C:\WINDOWS\SYSTEM\mswinxp.exe
>
> Slet den runas værdi og genstart systemet! Slet derefter manuelt
> mswinxp.exe og trackmgr.exe fra systemmappen.

Efter at have slettet filerne og - via run/msconfig - fjernet fluebenet ud
for referencen i registreringsdatabasen fungere alt nu fint. Eneste ændring
i forhold til før - såvidt jeg husker - er at når jeg nu tænder for pc'en
får jeg umiddelbart (i et sekund eller to) mulighed for at vælge
operativsystem (XP Home eller XP genoprettelseskonsol'), sikkert fordi jeg
har 'rodet' i msconfig og valgt et element i start fra, så det ikke længere
er en normal-start. Den mulighed var jeg måske egentligt helst fri for - når
det nu ikke altid er mig der tænder for pc'en.

Og tilbage i registreringsdatabasen står stadig referencen/runas-værdien dog
nu uden flueben. Hvordan jeg sletter disse overflødige linier er jeg ikke
helt fortroligt med.

Jeg blev anbefalet evt. at re-installere XP 'just-in-case'. Men da AVG og en
on-line scanning (Trend) efter oprydningen ikke kunne finde noget forkert,
og da den brugerkonto, der blev benyttet, da virusen ramte, ikke havde admin
rettigheder, valgte jeg at springe reinstallation over. Udover AVG kører jeg
Ad-ware og Spybot regelmæssigt og min XP er opdateret og med Firewall'en
slået til - alt dette kombineret med back-up af data en gang i mellem. Så
forhåbentligt er jeg nogenlunde på den sikre side.

"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:435d4d1a$0$9123$edfadb0f@dread15.news.tele.dk...

> Prøv at se her:
> http://www.webuser.co.uk/forums/ubbthreads.php
>
> gå til det forum som hedder HijachThis logs. - klip

Om min pc så også nu vil have godt af en omgang med HijackThis eller om det
burde være overflødigt ved jeg ikke rigtigt. På den ene side er jeg lidt
tynd i papirerne når der skal rodes med de mere grundlæggende systemer,
konfigurationer osv. og vil jo helst ikke selv lave ulykker. Og på den anden
side vil jeg gerne have at alt er i orden, så måske jeg burde prøve
programmet en af dagene. Men om det er meningen med HijackThis at det
kan/skal bruges regelmæssigt lidt ligesom f.eks. Ad-ware eller om det mere
er et egentligt genopretningsværktøj ved jeg ikke.

Mvh.
Lars

PS. Jeg har først lige opdaget dit indlæg og mail til min - ikke så ofte
benyttede - Hotmail, derfor det lidt sene svar.

PPS. Tak for hjælpen til alle!




Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408857
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste