|
| 'KOPI' af systemmappe i c:\Temp ??? Fra : molokyle | Vist : 564 gange 239 point Dato : 13-12-04 16:17 |
|
Jeg får hele tiden en kopi af mappen : [Oversigt] ..med undermappen : [History IE5] ..med endnu en mappe : [MSHist01 XXXXXXXXXXXXXXXX] ..og det er sket inden for de sidste par dage !
Mappene ligger (..dog ikke identiske; i C:\Windows\ ) ...Mystisk !
Jeg kan på visse tidspunkter slette mapperne, (..nogen gange bli'r jeg; Adgang nægtet), men de dukker sgu op igen med nye Time-Stamp's, der stemmer overens med sidste gang IE var åbnet
Jeg bruger Win98 SE (Dansk) ..med ALLE opdateringer !
Sygate Firewall, AVG anti-virus, SpywareBlaster, Adaware og TweekNow RegCleaner fuldt opdateret ..og ingen melder en lyd
Ps. Jeg fik for nogle dage siden en 'orme advarsel' af AVG på en eller anden obscur crack side, selvfølgelig i anden forbindelse , og nægtede adgang til omtalte objekt, men Sygate Firewall gik Amok og i Selvsving (trashing) selvom process oversigten i Windows sagde; en process Sygate's *.exe = Smc.exe ikke svarede ? ...mere Mystisk ?
AAaarrrrrrrgggggghhhh.... ! </MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 16:34 |
|
tedd -> Nåeh... så du ku' snage i, hvad jeg har installeret ?
Næeh... jeg tænkte på om der uforvarende er blevet lagt et ondsindet 'Reg. Tweak' ind et sted, som ingen af mine 'sikkerheds' programmer har fanget ? (..burde overveje at skifte fra Adaware til Spybot S&D ? )
..en eller anden ting der 'spejler' system mapper og kun lægger en *.dat fil ned i disse 'KOPI' mapper ?
Aner iøvrigt ikke hvad denne *.dat fil indeholder ?
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 16:40 |
|
Lige nu kan jeg flytte mappene til papirkurven, men kan ikke slette dem (..er i brug !)
Hvis jeg booter kan jeg godt slette dem ...til jeg åbner explorer, ...så er de der igen
</MOLOKYLE>
| |
| Kommentar Fra : bentjuul |
Dato : 13-12-04 16:51 |
|
Du kan da bare sende en HiJack-logfil direkte til www.arlet.dk via hans mail, selvom vi da gerne vil snage lidt i din logfil
//bentjuul
| |
| Kommentar Fra : tedd |
Dato : 13-12-04 16:52 |
| | |
| Kommentar Fra : molokyle |
Dato : 13-12-04 17:15 |
|
tedd -> Nope. Jeg har heller ingen net-service's til lokalnetværket i form af NETBUI eller andet. Kun ren TCP/IP og næsten ALT er spærret via Sygate.
Så det må være en reg. henvisnings ting, så vidt jeg ka' dømme, men jeg er ikke så stærk i den side af sagen
Altså : [Oversigt] ligger som normalt i c:\windows og indeholder historien over besøgte link.
[Oversigt] i c:/temp bliver dannet når jeg går på nettet med explorer. Lader jeg IE's starside være about:blank, bliver mappen ikke dannet, før jeg besøger en fremmed URL p´å nettet.
Undermappen til denne c:\temp\oversigt mappe : History IE5 har intet at gøre med mappen history i c:\windows ???
index.dat filen i det tidsangivne bibliotek MSHist01 indeholder :
Kode Client UrlCache MMF Ver 5.2 € € 2 € AC tems Di Imagin 4:07:08 4:24 0220 578 ð ´ ¼ 0 S
LEAD T logies V1.01 ÿ ´ ð! ÿÛ „
ÿÄ ¤ |
???
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 17:27 |
|
uLead Technologies ? Hvad er det nu lige det er ?
..mere fordi jeg ikke gider lede
</DOVENRAD>
| |
| Kommentar Fra : tedd |
Dato : 13-12-04 17:28 |
| | |
| Kommentar Fra : molokyle |
Dato : 13-12-04 17:43 |
|
Hmm.... snavs tilsyneladende spyware ..enormt meget hjælp at hente her : http://alphaworks.ibm.com/tech/urlcache
Graver lidt dybere, nu da det åbenbart ikke bare er mig der har rodet med nogle indstillinger jeg ikke har forstand på !
</TÆNKEBOX>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 17:48 |
|
tedd -> Ps. Jeg ejer ikke ét uLead produkt og mindes heller ikke at have haft noget installeret. Navnet dukkede blot op i index.dat filen (..kunne jeg gætte mig til) og jeg mindes at have hørt navnet et sted.
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 17:59 |
|
Jeg fandt et lign. spørsmål på ExpertsXchance , hvor jeg mærligt nok ligger som bruger : molokyle
..intet svar, men her er ExpertsXchance metode til at lukke åbne spørgsmål :
Citat 'Administrative Comment from turn123
Date: 02/25/2004 03:34AM PST
Administrative Comment
Hello,
This question has been classified as abandoned. I will make a recommendation to the moderators on its resolution in the next few days.
EXPERTS: Please make a recommendation on how you feel the question should be closed. If you feel you deserve points here, but don't care to respond, the question might very well get DELETED.
ASKER: Please return and finalize this question. Abandoning a question is in violation of the member agreement. If the asker does not know how to close the question, the options are here:
http://www.experts-exchange.com/help.jsp#hs5
Thank you,
Turn123
EE Cleanup Volunteer
Administrative Comment from turn123
Date: 03/02/2004 09:40AM PST
Administrative Comment
I will leave the following recommendation for this question in the Cleanup topic area:
Accept: Analog_Kid {http:#10261825}
Please leave any comments here within the next four days.
Turn123
EE Cleanup Volunteer
Administrative Comment from modulo
Date: 03/06/2004 05:31AM PST
Administrative Comment
Forced accept
modulo
Community Support Moderator |
...et eksempel til efterfølgelse Kandu.dk Team ???
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 19:12 |
|
emesen -> Fjerne hvad ?
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 19:14 |
|
index.dat begynder stadig med : Client UrlCache MMF Ver 5.2 ..men resten af inholdet ændres.
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 19:23 |
| | |
| Kommentar Fra : emesen |
Dato : 13-12-04 19:35 |
|
Citat Lige nu kan jeg flytte mappene til papirkurven, men kan ikke slette dem (..er i brug !) |
det var denne jeg tænkte på.
Du kunne også brække IE5 af og så rulle din 98 ind igen.
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 19:45 |
|
emesen -> Jeg bruger IE6 6.0.2800.1106 ...og har næppe 5'eren liggende at flyde. Jeg har slettet :
[Oversigt] ..med undermappen : [History IE5] ..med endnu en mappe : [MSHist01 XXXXXXXXXXXXXXXX] index.dat
..adskillige gange. Jeg får lov at slette, når jeg er off-line.
Nu prøver jeg at slette: c:\temp biblioteket og rem'e : set temp=c:\temp, samt; set tmp=c:\temp ud i min autoexec.bat
Dette burde sætte Win98 system temp til c:\windows\temp
..så ser jeg, hvad der sker
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 19:58 |
|
Hør nu :
Jeg fjernede ALLE henvisninger til c:/temp, tjekkede startfiler via msconfig.exe ...og nu ?
...blev biblioteket kræftstejlemig oprettet igen ...og der er altså ikke noget der hedder : Systemgendannelse i Win98 !!!
RASHGU ! </MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 20:04 |
|
tedd -> Snavs ja, men hvad, hvorhenne og hvordan fjerner jeg det ?
Lidt mere end Google link kunne være ønskværdigt
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 20:53 |
|
emesen -> Nøeh... til at finde servere i hvilke lande. Vidste du at f.eks. http://www.w3schools.com jeg benytter meget; er et Norsk site ?
Fin lille ting den Neotrace dersen dér. Jeg har selvfølgelig Sygate til at holde øje
..det er kun når jeg søger med Neotrace, jeg tillader adgang til nettet og kun for denne ene session ad gangen
</MOLOKYLE>
| |
| Kommentar Fra : tedd |
Dato : 13-12-04 21:43 |
| | |
| Kommentar Fra : tedd |
Dato : 13-12-04 21:44 |
| | |
| Kommentar Fra : tedd |
Dato : 13-12-04 21:51 |
| | |
| Kommentar Fra : molokyle |
Dato : 13-12-04 21:55 |
|
LockDLL.dll -> Der er ingen objekter at vise.
Alt søgt igennem.
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 21:56 |
|
Prøver lige en housecall. Det ta'r et stykke tid !
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 13-12-04 22:46 |
|
22 inficerede filer (nogle pakkede) :
JAVA BYTEVER A
JAVA BYTEVER A-1
'non-removable' ..så de blev slettet
..ikke; at det har gjort nogen forskel !!!
</???>
| |
| Kommentar Fra : tedd |
Dato : 13-12-04 23:59 |
| | |
| Kommentar Fra : molokyle |
Dato : 14-12-04 01:00 |
|
tedd -> Hvorfor ?
</MOLOKYLE>
| |
| Kommentar Fra : molokyle |
Dato : 14-12-04 01:39 |
|
IE virker tilfredstillende og upåklageligt, men en eller anden indstilling eller et eller andet snavs, danner mappen c:\temp (..med lille 't').
Hvis jeg selv laver en mappe Temp (.. med stort 'T') lægges [Oversigt] også der !
Skal ærligt indrømme; jeg aldrig har oplevet dette før. Jeg ved at hvisse programmer, som default ...eller, hvis man selv angiver det; har en start mappe, et mappe at gemme/hente i osv... , men jeg har ikke før været ude for en mappe med et systemnavn og atributter optræder som : c:/temp !!! Standard temp biblioteket i Win98 hedder C:\Windows\Temp
...men wmiexe.exe ligger i c:\windows\system og ikke i c:\windows\system32 ...der forøvrigt ikke er meget at hente i = 4.5 Mb. mod System's 215 Mb.
Tids-stemplet for wmiexe.exe stemmer overens med resten af mine systemfiler til min ver. af Win98 SE !
05-05-99 22:22
</MOLOKYLE>
| |
| Kommentar Fra : tedd |
Dato : 14-12-04 01:57 |
|
Hvilken mappe smider windoze dine midlertidige internetfiler i?
Prøv at se inde under internetindstillinger i browseren
| |
| Godkendelse af svar Fra : molokyle |
Dato : 14-12-04 12:06 |
|
Et noget tyndbenet svar tedd, men nok det der kommer nærmest virkeligheden
Problemet er løst
Efter at have fjernet trojanerne med housecall tjekkede jeg, hvor midlertidige internet filer lå. De lå hvor de skulle. Jeg bestemte så de forsøgsvis skulle ligge i c:\Temp og REBOOTEDE. Derefter flyttede jeg dem via IE's indstilliger tilbage til Windows biblioteket. Nu blev de der hvor de skulle og der er ikke siden dukket noget mystisk op i c:\Temp. Jeg har så selvfølgelig tjekket om der forgår mystiske ting i IE's systemmapper, men alt er tilsyneladende i den skønneste orden.
Jeg kan ikke forstille mig andet end at jeg har reddet mig de to trojanere på den dersens crackside jeg besøgte for nogle dage siden. AVG advarede mod en eller anden orm og jeg takkede som sagt nej til at køre objektet. Jeg havde imidlertid tilføjet URL'en til fortrukne og efter en fuld scan med Adaware bad den mig om at fjerne denne henvisning og det gjorde jeg. Trojanerne er imidlertid blevet hængende og dem har AVG ikke fanget. Min Sygate firewall ej heller ..ikke særligt betryggende, bortset fra det betyder; de næppe har konnektet til internettet uden min viden.
Jeg er ikke helt sikker, men jeg mener omtalte trojanere benytter JAVA's loader objekt for at åbne en bagdør, når en applet eller en executable *.jar fil køres ..selv offline
..anyway : Tak for hjælpen
</MOLOKYLE>
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|