---

Hej NG,

Der er sket ting og sager i min XP efter at min kære kone er kommet til at
klikke 'kør' i en eller anden boks der kom op
i forbindelse med noget spam på hendes web-mail.

Computeren blev meget langsom, blæseren kørte konstant osv. Efter genstart
et par gange var der først ingen umiddelbart synlige problemer, men nu
kommer de regelmæssigt igen.

Jeg kan se at følgende er ændret/oprettet i forbindelse med installationen:
(blot fundet i
stifinder ud fra tidspunkt)
c:\windows\2V417.scr
c:\windows\BA65M.exe
c:\windows\hToXQMJ.com
c:\windows\TDlCMJ.com
c:\windows\Polndo1.pgml
c:\windows\system32\trackmgr.exe
c:\windows\system32\drivers\2MvHGo.sys

Jeg har XP Home SP2 der er opdateret. Ændringerne er sket i en brugeradgang
uden XP admin rettigheder.
AVG free, Ad-ware og Spyboot har ikke fundet nogle fejl

Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
fungere bagefter?
Og er der nogle der kender det jeg her har fået inden for døren?

Mvh. og på forhånd tak
Lars

PS. Håber dette er korrekt NG

---

Lars" <sendebud@"DenVarmePost skrev blandt andet:

> Jeg kan se at følgende er ændret/oprettet i forbindelse med
> installationen: (blot fundet i
> stifinder ud fra tidspunkt)
> c:\windows\2V417.scr
> c:\windows\BA65M.exe
> c:\windows\hToXQMJ.com
> c:\windows\TDlCMJ.com
> c:\windows\Polndo1.pgml
> c:\windows\system32\trackmgr.exe
> c:\windows\system32\drivers\2MvHGo.sys
>
> Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
> fungere bagefter?

De ser allesammen mistænkelige ud.
I første omgang kunne du jo prøve at flytte filerne til en midertidig mappe
og se om computeren stadig fungerer korrekt - og om filerne bliver
gendannet, måske under andre ligeså mærkelige navne.
--
vh
Ole C

---

"Ole C" <ocl@fjerndettetdcadsl.dk> skrev i en meddelelse
news:43567998$0$41149$14726298@news.sunsite.dk...
> Lars" <sendebud@"DenVarmePost skrev blandt andet:
>
>>... msitænkelige filer i XP
>>
>> Kan jeg blot slette filerne ovenfor (via stifinder?)- og vil min XP så
>> fungere bagefter?
>
> De ser allesammen mistænkelige ud.
> I første omgang kunne du jo prøve at flytte filerne til en midertidig
> mappe og se om computeren stadig fungerer korrekt - og om filerne bliver
> gendannet, måske under andre ligeså mærkelige navne.
> --
> vh
> Ole C

Jeg har nu fjernet filerne og lagt dem i en anden mappe. Det eneste problem
jeg får ved genstart er at maskinen ikke kan finde: kBUoC.exe og at jeg i
givet fald kan slette referencen i registreringsdatabasen. Hvordan er det nu
lige man gør det uden at lave ulykker?

Jeg fjernede forøvrigt også mswinxp.exe (ikke nævnt i oprindelig indlæg) da
den var dannet umiddelbart før de mærkelige filer (og måske var
'installationsprogrammet'?). På trods af det 'officilt udseende' navn tror
jeg ikke den har noget med den oprindelige XP at gøre. Google gir
ingenting - eller er der nogen der ved bedre?

Jeg kan forøvrigt også se at programmet havde mutipliceret sig selv så det
ligge adskillige .exe og .com filer med samme størrelse (858 KB). Her
studser jeg så over at de senest tilkomne står som 'ændret' i stifinder på
samme tidspunkt som det oprindelige, selvom det står som 'oprettet' på et
senere tidspunkt.

Tak til Ole for input såvidt...
Mvh.
Lars

---

Lars" <sendebud@"DenVarmePost wrote:
> slette referencen i registreringsdatabasen.
> Hvordan er det nu lige man gør det uden at lave ulykker?

Jeg ville fjerne fluebenet udfor filen i msconfig -> Start eller
i startmenuen under start.

--
Mvh.
Mikael Nørrelund

---

Prøv at se her:
http://www.webuser.co.uk/forums/ubbthreads.php

gå til det forum som hedder HijachThis logs.
Næstøverste posting forklarer vedrørende programmet.

Kør programmet og indsend loggen - efter at du har oprettet
dig som bruger (New user registration).

Fik renset min svigerfars PC (Win XP) som var masende fyldt
med ubehagelige ting og sager, som ingen andre programmer
havde kunnet opdage.

Siten kan varmt anbefales - der findes også en dansk tilsvarende,
men prøv nu den engelske først - de er utroligt flinke og dygtige.


Kim

---

Fik du løst problemet ?
Opgiver at finde ud af din rigtige mailadresse - ellers ville jeg have
sendt dig en mail.

Kim

---

Kim Schroeder wrote:
> Fik du løst problemet ?
> Opgiver at finde ud af din rigtige mailadresse - ellers ville
> jeg have sendt dig en mail.


Hehe, mon ikke den varme adresse er hotmail og mon ikke .invalid
skal fjernes :)

--
Mvh.
Mikael Nørrelund

---

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> skrev i en meddelelse news:4363186b$0$78287$157c6196@dreader1.cybercity.dk...

> Hehe, mon ikke den varme adresse er hotmail og mon ikke .invalid
> skal fjernes :)
>

Ahh ok, så langt rakte min fantasi ikke :)

Kim

---

"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:4362eacd$0$47032$edfadb0f@dread15.news.tele.dk...
> Fik du løst problemet ? ...klip
> Kim

Hej Kim,

Ja, jeg fik løst problemet og fandt såmænd også ud af hvilken virus det
var - med hjælp fra virus.NG'en:

"Peter Kruse" <kruse@nogoodtimetodoso-kruseonline.dk> skrev i en meddelelse
news:43579414$0$142$edfadb0f@dread11.news.tele.dk...
> Hej Lars,
> ...klippet...
> Ja, der er desværre tale om skadelig kode. En "Delf" variant.
> Fil: mswinxp.exe Delf-dropper (årsagen til din kompromitterede PC)
> ...modificerer herefter registreringsdatabasen med en runas værdi, så
> koden aktiveres efter en genstart af systemet:
>
> HKLM\Software\Microsoft\Windows\CurrentVersion\Run=
> "filesys"="C:\WINDOWS\SYSTEM\mswinxp.exe
>
> Slet den runas værdi og genstart systemet! Slet derefter manuelt
> mswinxp.exe og trackmgr.exe fra systemmappen.

Efter at have slettet filerne og - via run/msconfig - fjernet fluebenet ud
for referencen i registreringsdatabasen fungere alt nu fint. Eneste ændring
i forhold til før - såvidt jeg husker - er at når jeg nu tænder for pc'en
får jeg umiddelbart (i et sekund eller to) mulighed for at vælge
operativsystem (XP Home eller XP genoprettelseskonsol'), sikkert fordi jeg
har 'rodet' i msconfig og valgt et element i start fra, så det ikke længere
er en normal-start. Den mulighed var jeg måske egentligt helst fri for - når
det nu ikke altid er mig der tænder for pc'en.

Og tilbage i registreringsdatabasen står stadig referencen/runas-værdien dog
nu uden flueben. Hvordan jeg sletter disse overflødige linier er jeg ikke
helt fortroligt med.

Jeg blev anbefalet evt. at re-installere XP 'just-in-case'. Men da AVG og en
on-line scanning (Trend) efter oprydningen ikke kunne finde noget forkert,
og da den brugerkonto, der blev benyttet, da virusen ramte, ikke havde admin
rettigheder, valgte jeg at springe reinstallation over. Udover AVG kører jeg
Ad-ware og Spybot regelmæssigt og min XP er opdateret og med Firewall'en
slået til - alt dette kombineret med back-up af data en gang i mellem. Så
forhåbentligt er jeg nogenlunde på den sikre side.

"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:435d4d1a$0$9123$edfadb0f@dread15.news.tele.dk...

> Prøv at se her:
> http://www.webuser.co.uk/forums/ubbthreads.php
>
> gå til det forum som hedder HijachThis logs. - klip

Om min pc så også nu vil have godt af en omgang med HijackThis eller om det
burde være overflødigt ved jeg ikke rigtigt. På den ene side er jeg lidt
tynd i papirerne når der skal rodes med de mere grundlæggende systemer,
konfigurationer osv. og vil jo helst ikke selv lave ulykker. Og på den anden
side vil jeg gerne have at alt er i orden, så måske jeg burde prøve
programmet en af dagene. Men om det er meningen med HijackThis at det
kan/skal bruges regelmæssigt lidt ligesom f.eks. Ad-ware eller om det mere
er et egentligt genopretningsværktøj ved jeg ikke.

Mvh.
Lars

PS. Jeg har først lige opdaget dit indlæg og mail til min - ikke så ofte
benyttede - Hotmail, derfor det lidt sene svar.

PPS. Tak for hjælpen til alle!