c2.lop hvad er det ? og hvad gør jeg ?

Det er en rigtig modbydelig satan du har fået der, heldigvis kan vi fjerne den for dig.
Hent HiJackThis, smid logfilen herind, så skal jeg nok en gang besejre Lop.
Det er min ynglingsfjende.*G*
http://www.lurkhere.com/~nicefiles/

kan man ikke lave en log fil med spybot.?

Nej, desværre ikke.
Og de seneste tilfælde af Lop, er der alligevel kun HiJackThis der har fået has på den.

men det er jo osse et bug..:O/ ??

Kør Hijackthis, så fjerner vi Lop in no time.*S*

ja det er en spyware som fromsej skriver, men den er temlig svær at få fjernet!

ja ja.

Logfile of HijackThis v1.95.0
Scan saved at 22:54:10, on 04-07-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ctfmon.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: Win32 Classes -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/f57014e65017c8/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

altså jeg finder intet..??

Fixes:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
Disse to skal du fixe, når du gør det, SKAL alle andre programmer være lukkede, der må kun være Hijackthis der kører.
Hvis du bruger XP eller ME, skal du slå systemgendannelse fra.*S*

http://www.spywarefri.dk/virus.htm#alle - slå systemgendannelse fra

Tag lige den her med:
O16 - DPF: Win32 Classes -

men det er min grafik driver..og den anden ved jeg ikke lige.

og hvad med c2.lop skal den stadig væk være isoleret.?

hvilken udgave af spybot kørte du med!

prøver lige og se om jeg hitter ud af det .:O)

den fryser igen på (2957/5835:C2.lop)
??
C2.lop--er ikke isoleret.

Hvilken er din grafikdriver?

i den pc er det onboard intel 810 chipset

http://www.doxdesk.com/parasite/lop.html
Her kan du læse om Lop.

Bartfreak>>Jeg kalder lige på førsteholdet, så knalder vi den i morgen.
Rødvin og Irish Coffee sætter sine begrænsninger på min tænkeevne i dag.*G*

Har du fixet de ting jeg foreslog?

den er jeg med på..

spybot frys da jeg scannede..?
Har måske brug for en #hel guide# ?...O)

Jeg kan ikke give dig en bedre guide end den her:
http://www.spywarefri.dk/vaerktoj.htm#hjemmeside
Måske skal du prøve i fejlsikret tilstand, men jeg ved ikke om det kan lade sig gøre.

har læst at det er programmet der ikke kan finde ud af om det Er en bug..
og der måske findes en beta model der løser problemet..af spybot.

spybot 1.2 kan ikke tage c2.lop, det kunne den ikke i midten af juni! så hvis der ikke er nogle opdateringer så kan spybot ikke klare den

Prøv at hente Aluria, bare for at se om den kan finde Lop.
Hvis den kan, det kan den, så kan vi også fjerne den.
http://www.spywarefri.dk/vaerktoj.htm#02.05.2003

der findes ikke en anden udgave af spybot som tager den!

okay prøver den imorgen

Lop kommer ikke til at vinde, det vil jeg simpelthen ikke finde mig i.*S*

Removal
lop/Toolbar installations normally put a round icon in the system tray, try right-clicking this, choosing 'Menu', then on the resulting window, clicking 'Help', then 'Uninstall'. With newer variants you will have to answer an annoying riddle before it will go away.

lop/Rnd installations do not put the icon in the system tray, but may add an entry to the Control Panel's Add/Remove Programs list, which can be used to uninstall in the same way. The name of the uninstall option varies randomly but tend to follow a pattern, eg.:

Browser Enhance r
Brows er Enhancer
Ultimate Browse r Enhancer
Ultimate Browser En hancer
L.O P. Un insta11
L O.P. Un instal1
Live 0n line Portal
Live.0nli ne Porta1
Manual removal
Open the Application Data folder. This can be found inside the Windows folder on Windows 95/98/Me; on Windows 2000 and XP it is inside your user folder in 'Documents and Settings', but it's hidden, so go to Tools->Folder Options->View and turn on 'Show hidden files and folders' to see it. In Windows NT 4.0 it is in the user folder inside 'WinNT\Profiles'.

The filenames of lop files can vary for each different installation, but usually under Windows there should not be any files inside Application Data (only folders), so it's generally easy to pick out the culprits. Known filenames for the toolbar DLL (lop/Toolbar, lop/Rnd) or ayb: protocol DLL (lop/AYB) include:

blztstull[letter 'a', 'c', 'j', 'p', 's', 't' or 'y'].dll
blztstull['pr', 'tr' or 'oo'].dll
chksbdrlya.dll
dmvcrthl.exe
eaeeishllblc.dll
eelykofrllfrpr.dll
eelykofrllfrj.dll
ealymfrprwch.dll
epllkeeoopr.dll
freabrlaouw.dll
gldqumssfrie.dll
hglllyxrxw.dll
icdrhwno.dll
heeachmstll.dll
meepajlr.dll
ousszidrta.dll
plg_ie[any digit].dll
prxzoustustgr.dll
prnouestssstx.dll
quizbt[any digit].dll
quglwachfs.dll
sstroallhqch.dll
tblchepruprgr.dll
trdzhtxf.exe
trstshcrscksr.dll
ukfroigl.dll
upckeetoutw.dll
veaeyglckr.dll
woafrquzn.dll
yeecrsoustoull.dll
ziebaeeoaeepr.dll
Known filenames for the system tray task and hijacker file include:

asshuktr.exe
bilyooas.exe
byb_save.exe
crgbeaoa.exe
eaymulyl.exe
eeublidc.exe
glxshmcr.exe
ijlysseb.exe
jqumysto.exe
kfriegbs.exe
llfggrdr.exe
lltckiey.exe
lopsearc.exe
meemnckyqbr.exe
meepajlr.exe
mprcouie.exe
oofrkxpe.exe
peebqusz.exe
quveioot.exe
shoucrck.exe
ssmeeibl.exe
tchpeatr.exe
tglblrll.exe
trstdris.exe
ulyuiexeechp.exe
vestufck.exe
vfthrcbr.exe
xogyfhp.exe
ykphmbre.exe
ylynfste.exe
Other files you may find with some versions include icon libraries (known filenames tchejea.lib and iCndE.lib) and loads of GIFs. These can all be deleted too. You might also have some of the following files in the Windows folder:

desktop.htm
dnserror.htm
jexpoofro.htm
i_dnserr.gif
s_dnserr.gif
r_dnserr.gif
b_dnserr.gif
tiejexpoo.gif
xiejexpoo.gif
oiejexpoo.gif
uiejexpoo.gif
Open the registry (Start->Run->regedit) and find the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. If you have not used the uninstall feature there should still be an entry with a value like 'C:\WINDOWS\APPLIC~1\(task name).exe -QuieT'; delete it. The name of this entry changes in different variants; known names are:

abtu
brchfgl
brfrgroo
chytrw
eeullz
eedrtss
lldrlyk
lssxsh
stoafv
oooami
oooik
oucno
phqtr
pprwly
qncu
stjlee
uaouea
trglckea
xckja
ymste
zvoah
You should also delete the following entries if you have them and they are not just blank:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Telephony\DomainName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...}\Domain
Also you can remove the lop settings key if you can find it; it is inside HKEY_LOCAL_MACHINE\Software and has, again, a varying name; known examples are:

ckotetlllyllshz
kseateasteestoe
rhvlveasteafpr
ssaxstxoaieoagrh
TrinityAYB (lop/Trinity variant)
Next, if you have not used the uninstall feature, open a DOS command prompt window (from Start->Programs->Accessories) and enter the following commands:

cd "%WinDir%\System"
regsvr32 /u [name of DLL]
substituting the full filename of the DLL, whatever its name is, in Application Data. Tip: You can drag the DLL file from Explorer onto the DOS command prompt window to put the name in so you don't have to type it all out.

Finally, reboot Windows and you should be able to delete all the files mentioned above, along with the shortcuts added to the desktop and the favorites menu. You can also reset your homepage (from Internet Options->General) and search settings (Internet Options->Programs->Reset Web Settings), and delete the entries added to your Favorites menu. If you use Netscape/Mozilla you will need to reset the home page (Edit->Preferences->Navigator) and remove the Bookmarks too.

Håber at dette kan hjælpe dig. Jeg er desværre ikke hjemme før samme tid ca. i morgen nat, men skal nok lige tjekke om det har hjulpet dig.

Jeg ville forøvrig for  en sikkerheds skyld fixe alle disse. Det indebærer dog at du får en blank side når du starter din browser, men du kan nemt i browseren bestemme en ny startside. Det kan du gøre her:
Browseren
Funktioner
Internet indstillinger
Faneblade generalt
Og så under adresse skrive den URL du måtte ønske dig.

Dem som du skulle fixe er disse:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\SYSTEM\blank.htm

Er din spybot ikke opdateret? Siden den 18. maj tager spybot også C2-Lop, men det går galt hvis du manuelt selv har forsøgt at fjerne den først, og derfor kan det også være årsagen til at denne ikke er så synlig i HijackThis.

Har du forsøgt at fjerne noget før du brugte HijackThis? Det tyder MEGET på da hijackThis i version 1.95 SKULLE vise Lop'en. Se her hvad en skriver:.....and got hijack this. It took F****** lop off in about 10 secs. This program realy gets the job done,
men det kikser hvis noget ER fjernet først.

Det ser ikke godt ud med denne LOP.

Har du prøvet at gendanne din computer fra før du fik denne LOP det kan jeg ikke se nogen steder at du har. Flere har haft held med at få den fjernet ved at gendanne til tidligere fejlfri system.
Mange har desværre ikke haft held til at fjerne denne hvis de som perhaps også nævner, har prøvet at gøre noget manuelt først, og er blevet nødt til en format c.

Prøv at se om du kan finde Loop i tilføj/fjern prg. og fjern den. Måske er du heldig.
Prøv at downloade opdateringen af Spybot og forsøg en gang til med denne.

Ellers kig her: http://www.drivingwithdawn.com/archives/2003/03/c2lop_toolbar_is_hijacking_my_browser_and_computer.shtml
Hvor der er flere gode råd og vejledninger men på engelsk.

Vender først tilbage i nat, skal afsted om 1 tim. Men kigger ind igen for at se hvad du har fået ud af det.

Lig også lige en ny logfil, så vi kan tjekke at du har fjernet det som vi har bedt dig om at fjerne.

hey alle..enedelig fik jeg tid til at komme igang med mit lille projekt.O)
Igftray.exe er intel grafik driver for 810 chipset, hkcmd.exe er en der følger med.??
Dem fik jeg disabeled i msconfig. driveren kører jo videre alligevel.
Checked til/fjern programmer..der var ikke noget jeg ikke selv har installeret.
har kigget i "application data mapper, og ikke rigtigt fundet noget af det foresloget, dog nogle tomme mapper"dss/machinekey.Rsa/machinkey/s1-5-18..og i den er der en fil med et meget langt tal/bogstav navn..aner ikke hvad det er.
Kører iøvrigt xp.
sidder og checke i regedit..og har ikke haft nogen af dem indtil .denne..
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...der har 3 nøgler..hvor 2 er ens med forskellig mappe navn.?
Jeg har google som start side..? men sætter den på blank.
jeg forstår ikke rigtigt a overgaard´s foreslag fra 00:40:33..:O/

jeg har osse tæsket en masse forum sider igennem, men generelt er der ingen der ved præcis hvad det er. Eller for det fjernet
Pcén kører iøvrigt rigtigt godt, der er ingen problemer der. så er det ikke bare microsoft´s lille finte, der søger for at man har deres startside når man har klodset med computeren, hvis i forstår.
på den side  http://www.spywarefri.dk/vaerktoj.htm#hjemmeside 
som ser en vis overgaard er en kendt forfatter..el. hvad..O)

den fryser ikke rigtigt men arbejder hårdt..trykker jeg ctrl-alt-delete..kører det stadig..altså spybot.  Har læst at folk lod den stå i 3 timer uden resultat
det ver.1.2 iøvrigt.

Har du prøvet den onlinescanner her:
http://www.spywarefri.dk/onlinevark.htm 
X-block, den er lynhurtig.

prøver den lige..og hej..O)

der var intet,?

vil du ha´ en ny log fromsej..og hvorfor er det lige, at du er så go´ til det med vira..?

Kom bare med den, men hvis x-block ikke finder den, burde den være væk.*S*

God til vira, tjae ikke så god som jeg håber at blive, men de små bæster interesserer mig, og jeg synes at kampen mod dem er spændende, selvom det kræver en masse tålmodighed.
så for det meste er det bare benhårdt slavearbejde, men glæden ved at vinde kampen, er som regel det hele værd.

bestemt enig..O)

Her er den..


--- Search result list ---
Tillykke!: Ingen "bots" fundet. ()


--- Spybot-S&D version: 1.2  ---
2003-03-16 Includes\Cookies.sbi
2003-03-16 Includes\Dialer.sbi
2003-03-16 Includes\Hijackers.sbi
2003-03-16 Includes\Keyloggers.sbi
2003-03-16 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-03-16 Includes\Security.sbi
2003-03-16 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2003-03-16 Includes\Tracks.uti
2003-03-16 Includes\Trojans.sbi


--- System information ---
Windows XP (Build: 2600)


--- Startup entries list ---
Spybot-S&D Startup list report, 05-07-2003 20:47:15

Located: HK_CU:Run, CTFMON.EXE
  file: C:\WINDOWS\System32\ctfmon.exe
  MD5: AA49FFA6A35931BED7BFE3B3D8E08649

Located: HK_LM:Run, SystemTray
  file: SysTray.Exe

Located: HK_LM:Run, LWBMOUSE
  file: C:\Programmer\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

Located: Startup (common), Microsoft Office.lnk
  file: C:\Programmer\Microsoft Office\Office\OSA9.EXE
  MD5: 15A29DA1ABA7559175E65B824F2CFEB2



--- Browser helper object list ---
Spybot-S&D Browser helper object report, 05-07-2003 20:47:15


--- ActiveX list ---
Spybot-S&D ActiveX report, 05-07-2003 20:47:15

DirectAnimation Java Classes
  Download location: file://C:\WINDOWS\SYSTEM\dajava.cab
  Name: DirectAnimation Java Classes
  Version: 5,1,15,1014

Internet Explorer Classes for Java
  Download location: file://C:\WINDOWS\SYSTEM\iejava.cab
  Name: Internet Explorer Classes for Java
  Version: 5,0,2614,3500

Microsoft XML Parser for Java
  Download location: file://C:\WINDOWS\Java\classes\xmldso4.cab
  Name: Microsoft XML Parser for Java
  Version: 1,0,9,0

Win32 Classes

{166B1BCA-3F9C-11CF-8075-444553540000}
  Class file: SWDIR.DLL
    Attributes: archive
    Date: 11-02-2003 06:02:58
    MD5: 92FA0AE21D3A08B65D291724AA7D0E43
    Path: C:\WINDOWS\SYSTEM32\MACROMED\DIRECTOR\
    Short name:
    Size: 32768 bytes
    Version: 0.8.0.5
  Class name: Shockwave ActiveX Control
  CLSID database: unknown class
    Description: Macromedia ShockWave Flash Player 7
    Filename: SWDIR.DLL
  Download location: http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
  Last modified: Tue, 10 Sep 2002 19:42:58 GMT
  Version: 8,5,1,102

{74D05D43-3236-11D4-BDCD-00C04F9A3B61}
  Class file: xscan53.ocx
    Attributes: archive
    Date: 04-07-2003 18:20:08
    MD5: A060ECCB7195BC9A03A8B3737150766C
    Path: C:\WINDOWS\DOWNLO~1\
    Short name:
    Size: 430592 bytes
    Version: 0.5.0.70
  Class name: HouseCall Control
  CLSID database: legitimate software
    Description: Trend Micro Antivirus online scanner
    Filename: XSCAN53.OCX
  Contains file: aucfg.ini
    Attributes: archive
    Date: 01-11-2002 16:17:50
    MD5: AF03B6DA00B295F2B2DFD949B7290F53
    Path: C:\WINDOWS\
    Short name:
    Size: 256 bytes
    Version: 255.255.255.255
  Contains file: loadhttp.dll
    Attributes: archive
    Date: 15-10-2002 14:29:40
    MD5: A91762435EDBE0B0C9E6B19512934319
    Path: C:\WINDOWS\
    Short name:
    Size: 77824 bytes
    Version: 0.1.0.32
  Contains file: mfc42.dll
    Attributes: archive
    Date: 09-10-2001 11:00:00
    MD5: 3CB366CD80B2EB5E5F3C90E0E4A5E940
    Path: C:\WINDOWS\System32\
    Short name:
    Size: 995383 bytes
    Version: 0.6.0.0
  Contains file: msvcrt.dll
    Attributes: archive
    Date: 09-10-2001 11:00:00
    MD5: C186FA506EDCCD07C1F58BC45A3EE2D2
    Path: C:\WINDOWS\System32\
    Short name:
    Size: 322560 bytes
    Version: 0.7.0.0
  Contains file: patchw32.dll
    Attributes: archive
    Date: 14-12-2001 13:34:46
    MD5: 6C6CAC2D5F122CF24B92EE12CB87D8A6
    Path: C:\WINDOWS\
    Short name:
    Size: 164864 bytes
    Version: 0.5.0.1
  Contains file: runtsckl.exe
    Attributes: archive
    Date: 04-07-2003 18:20:12
    MD5: A7EF749018A4C89789D512B72D4332AE
    Path: C:\WINDOWS\
    Short name:
    Size: 99328 bytes
    Version: 0.1.0.0
  Contains file: tmupdate.ini
    Attributes: archive
    Date: 04-07-2002 15:05:34
    MD5: 787089A662510400220211AD5A431F06
    Path: C:\WINDOWS\
    Short name:
    Size: 269 bytes
    Version: 255.255.255.255
  Contains file: xscan53.ocx
    Attributes: archive
    Date: 04-07-2003 18:20:08
    MD5: A060ECCB7195BC9A03A8B3737150766C
    Path: C:\WINDOWS\Downloaded Program Files\
    Short name:
    Size: 430592 bytes
    Version: 0.5.0.70
  Download location: http://a840.g.akamai.net/7/840/537/f57014e65017c8/housecall.antivirus.com/housecall/xscan53.cab
  Last modified: Fri, 04 Jul 2003 12:47:04 GMT
  Version: 5,70,0,1065

{D27CDB6E-AE6D-11CF-96B8-444553540000}
  Class file: Flash.ocx
    Attributes: archive
    Date: 24-02-2003 16:20:36
    MD5: E61DB5468D6CCC46397C1A918C1A1AA4
    Path: C:\WINDOWS\System32\macromed\flash\
    Short name: FLASH.OCX
    Size: 827392 bytes
    Version: 0.6.0.0
  Class name: Shockwave Flash Object
  CLSID database: legitimate software
    Description: Macromedia Shockwave Flash Player
  Download location: http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  Last modified: Wed, 26 Feb 2003 19:22:35 GMT
  Version: 6,0,79,0


--- Process list ---
Spybot-S&D process list report, 05-07-2003 20:47:15

PID:    0 (  0) [System]
PID:    4 (  0) System
PID:  280 (  4) \SystemRoot\System32\smss.exe
PID:  340 ( 280) CSRSS.EXE
PID:  364 ( 280) \??\C:\WINDOWS\system32\winlogon.exe
PID:  408 ( 364) C:\WINDOWS\system32\services.exe
PID:  420 ( 364) C:\WINDOWS\system32\lsass.exe
PID:  596 ( 408) C:\WINDOWS\system32\svchost.exe
PID:  620 ( 408) C:\WINDOWS\System32\svchost.exe
PID:  688 ( 408) svchost.exe
PID:  700 ( 408) svchost.exe
PID:  780 ( 408) C:\WINDOWS\system32\spoolsv.exe
PID: 1048 (1012) C:\WINDOWS\Explorer.EXE
PID: 1444 (1048) C:\WINDOWS\System32\ctfmon.exe
PID: 2024 (1048) F:\Spybot - Search & Destroy\SpybotSD.exe


--- Browser start & search pages list ---
Spybot-S&D browser pages report, 05-07-2003 20:47:15

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  http:///
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  http://www.msn.dk
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Spybot-S&D winsock LSP report, 05-07-2003 20:47:15

NS Provider ( 1) Tcpip ({22059D40-7E9E-11CF-AE5A-00AA00A7112B})
NS Provider ( 2) NTDS ({3B2637EE-E580-11CF-A555-00C04FD8D4AC})
NS Provider ( 3) NLA-navneområde (Network Location Awareness) ({6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83})
Protocol ( 1) MSAFD Tcpip [TCP/IP] ({E70F1AA0-AB8B-11CF-8CA3-00805F48A192})
Protocol ( 2) MSAFD Tcpip [UDP/IP] ({E70F1AA0-AB8B-11CF-8CA3-00805F48A192})
Protocol ( 3) MSAFD Tcpip [RAW/IP] ({E70F1AA0-AB8B-11CF-8CA3-00805F48A192})
Protocol ( 4) RSVP UDP Service Provider ({9D60A9E0-337A-11D0-BD88-0000C082E69A})
Protocol ( 5) RSVP TCP Service Provider ({9D60A9E0-337A-11D0-BD88-0000C082E69A})
Protocol ( 6) MSAFD NetBIOS [\Device\NetBT_Tcpip_{22C3912F-0C05-429D-920E-1B8DDA47DE81}] SEQPACKET 0 ({8D5F1830-C273-11CF-95C8-00805F48A192})
Protocol ( 7) MSAFD NetBIOS [\Device\NetBT_Tcpip_{22C3912F-0C05-429D-920E-1B8DDA47DE81}] DATAGRAM 0 ({8D5F1830-C273-11CF-95C8-00805F48A192})
Protocol ( 8) MSAFD NetBIOS [\Device\NetBT_Tcpip_{E9CAEFD5-970A-4FB6-8065-8C277D367F3E}] SEQPACKET 1 ({8D5F1830-C273-11CF-95C8-00805F48A192})
Protocol ( 9) MSAFD NetBIOS [\Device\NetBT_Tcpip_{E9CAEFD5-970A-4FB6-8065-8C277D367F3E}] DATAGRAM 1 ({8D5F1830-C273-11CF-95C8-00805F48A192})
Protocol (10) MSAFD NetBIOS [\Device\NetBT_Tcpip_{B2965D1B-AE16-4E53-ABFD-E42722556003}] SEQPACKET 2 ({8D5F1830-C273-11CF-95C8-00805F48A192})
Protocol (11) MSAFD NetBIOS [\Device\NetBT_Tcpip_{B2965D1B-AE16-4E53-ABFD-E42722556003}] DATAGRAM 2 ({8D5F1830-C273-11CF-95C8-00805F48A192})

Den ser fin og ren ud.*S*
En nem test til at se om lop er der endnu, hvilket jeg ikke tror, er at skrive f.eks www.eksssperten.dk i URL feltet, så skulle du gerne få Searchmsn vinduet, derimod hvis Lop er aktiv, får du en mistænkelig side.

men jeg isolerede jo c2.lop
og hvis jeg ikke gør fryser den stadig..
Hmm..lader spmélt stå åbent til overgaard har reageret..O)

Det havde jeg glemt.*S*
Jeg synes også at du skal vente på Aovergaard.*S*

hvor underligt..da jeg gjorde det du foreslog..ville den ringe op(den er i et netværk..og er på)..og sig´ siden kan ikke vises.

Hmm, vi må vist bare vente, og håbe på der kommer en løsning, når Aovergaard engang dukker op.

Så er jeg hjemme igen for en kort bemærkning.

Nu skriver du at du har isoleret c2.lop Har du selv gjort det, eller var det spybot som gjorde det?
Hvilke af de forskellige svar er afprøvet udover hijack og spybot? Har du prøvet removel? eller manuel removel?

Fint hvis det var spybot og du bagefter kørte programmet en gang til og den fortæller at du ikke har Lop mere.
Men nu har du så problemer med at den vil ringe op. Måske er der ved isoleringen af denne Loop sket nogle ændringer i dine Internetindstillinger som skal laves tilbage. Gå i funktioner - internetindstillinger - fanebladet forbindelse og tjek at det er de korrekte indstillinger.
Nu har du smidt en logfil fra spybot, jeg ville også gerne have set en fra HijackThis. Smid den lige. I morgen er jeg allerede hjemme mellem kl. 19-20 og går på så jeg kan kontaktes mens vi er online. Så må vi jo blive ved ved fælles hjælp med at få det sidste i orden.
Prøvede du egentlig mit foreslag med hensyn til at prøve at gendanne tidligere version?

jeg fixedede omtalte filer i hijackthis, og explorer ringer ikke op men bare "siden kan ikke vises.."
Jeg har/havde selv sat kryds c2.lop i spybot, for at kunne genemfører scanningen. For ellers fryser den.
hvad er "removel..?
Og nej har ikke prøvet at gendanne systemet da, det jo kører ganske fint. Og der er ikke nogen "settings" som er ændret i internet indstillinger.
Den hopper heller ikke ind på en underlig side, på noget tidspunkt.
Men hvad det for en fil, hvor stammer den fra.?,,kan da godt se at mange mener det er et browerstoolbar el. startside hijacker..
Men kan det ikke bar være rester ??...her er min  Hijackthis log..
-------------------------------------------------------------------------------
Logfile of HijackThis v1.95.0
Scan saved at 11:41:22, on 06-07-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: Win32 Classes -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/f57014e65017c8/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-------------------------------------------------------------------------------
Hvad er toolbar/ radio ?

scannede så med spybot, og fik disse cookies ..
-------------------------------------------------------------------------------

Avenue A, Inc.: Tracking cookie or cookie of tracking site (Filer, nothing done)
  C:\Documents and Settings\mads\Cookies\mads@atdmt[1].txt

HitBox: Tracking cookie or cookie of tracking site (Filer, nothing done)
  C:\Documents and Settings\mads\Cookies\mads@hg1.hitbox[1].txt

HitBox: Tracking cookie or cookie of tracking site (Filer, nothing done)
  C:\Documents and Settings\mads\Cookies\mads@hitbox[2].txt


--- Spybot-S&D version: 1.2  ---
2003-03-16 Includes\Cookies.sbi
2003-03-16 Includes\Dialer.sbi
2003-03-16 Includes\Hijackers.sbi
2003-03-16 Includes\Keyloggers.sbi
2003-03-16 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-03-16 Includes\Security.sbi
2003-03-16 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2003-03-16 Includes\Tracks.uti
2003-03-16 Includes\Trojans.sbi
-------------------------------------------------------------------------------
de betyder nok ikke noget..el. hvad ??

Håber jeg gjorde alt korrekt, ellers starter jeg forfra..med et nyt spm..
Men tror egentlig ikke at c2.lop har en nogen indflydelse på noget som helst, tag jeg fejl.??

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O16 - DPF: Win32 Classes - Står der ikke mere her bagved så fix også denne

Med hensyn til cookies, bare det at du åbner en side giver dig cookies. De fleste er ikke farlige, men der er desværre flere og flere cookies som bare ligger og spionere på din computer, og derved bliver de farlige.

At gendanne dit system fra anden dato før problemerne, betyder at alt det der måtte være lagt ned af skidt på selve systemet forsvinder helt af sig selv hvis det bliver gendanne fra et tidspunkt hvor din computer var fejlfri. Kender du en fejlfri dato for dit system, så kan det gendannes og væk er problemerne.

nej ved ikke hvornår den var fejlfri.?
Hvis jeg fixer den sys.tray..hvad så med min tray..??gone forever el.hvad.??
og som sagt..der er ingen problemer..endnu ihvert fald.O)
Men er der ingen der ved præcist hvor filen stammer fra..???
jeg vil gøre det du foreslår og vender tilbage senere.
og et lille spm til overgaard..er det dig der skriver de manualer/brugervejl. el.hvad ??

Ja, det er mig som skriver de manualer/brugervejledninger.

kan du så sige hvor filen stammer fra..el. hvad det er.?

lop is a family of programs that set your start page and IE's search features to use the site lop.com ('Live Online Portal') or one of its clone sites.

Og hvor den kommer fra er ikke til at vide, den kommer når du surfer rundt på Nettet.

er just hjemvendt fra ferie..O)
Takker for deltagelsen.
Men til andre brugere, filen er der endnu, men har ingen skade gjort.

Prøv med spybot igen, husk at opdatere den online, inden du scanner.
Vi skal have knækket den Lop.

okay..men det bliver først i aften..O)