/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn 

Kodeord  


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
IE "home" problemer
Fra : srhansen
Vist : 498 gange
200 point
Dato : 13-07-03 22:18

Hej godtfolk

I forbindelse med nogle routerforsøg er det lykkedes mig at få installeret noget snavs på min computer.
Jeg har fået en af de der irriterende der sætter opstartssiden (home) til deres egen skodsite i dette tilfælde søgemaskinen
www.youfindit

De først af den slags trick var nemme at afsløre de lagde sig blot i opstartsfolderen, hvor man blot kunne slette dem. Anden generation var mere kryptiske de lagde sig i registreringsdatabasen under nøglen startup. Denne "buggar" er mere kryptisk for navnet youfindit eksisterer ikke i min computer, heller ikke i registreringsdatabasen. Jeg satte så min router op til at banne domænet youfindit og pludselig så jeg nu i adresselisten på explorer at den faktisk pegede på: http://www.coolwwwsearch.com/%7a/%61/%78%31%2e%63%67%69?%33%34%34%30%31%32%20%20about:blank

, hvilket heller ikke findes i computeren. Computeren er testet for spy og agenter på: http://www.spywarefri.dk/spywarefri-onlinescan.htm og den er fundet clean 2 gange.

Spørgsmålet er nu som mange sikkert har gættet Hvordan slipper jeg af med bæstet igen ?

mvh srhansen

 
 
Kommentar
Fra : Poe


Dato : 13-07-03 22:45

Prøv med noget af det førende Anti-Virus...
Avast Antivirus f.eks. http://www.avast.com/iavs4pro/setupcze.exe ...

Ellers er der vel ikke andet for at format c:? Ved godt det er den kedeligste udvej, men den bedste!

Kommentar
Fra : dk


Dato : 13-07-03 23:10

Hejsa

prøv dette her
kør regedit, og gå til
HKEY_USERS >> software >> microsoft >> internet explorer >> main
ændre "binær nøglen" search page til http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
og ændre "start page" til den side du vil have.....



Kommentar
Fra : als


Dato : 13-07-03 23:46

Du skal køre HijackThis og sætte loggen ind her så fortæller jeg dig hvilke nøgler og URls du skal fixe. Jeg kender godt den youfindit. Den er skrap kan jeg godt sige dig men jeg har netop idag fået nøje instrukser i hvordan den fjernes så næste trin er altså Hijackthis som du finder under værktøjer hos Spywarefri.dk og så paste loggen ind her. Al det andet hjælper ikke kan jeg godt sige dig på forhånd. Antivirus hjælper da slet ikke når man er blevet hijacked som du er blevet det.

Kommentar
Fra : als


Dato : 13-07-03 23:54

Hvis du vil have omgående besked så kan du paste den ind i Spywarefris forum så farer der straks en tre fire stykker over loggen og du har en ren pc i løbet af kort tid. De opererer også af og til om natten (lidt skøre ik' sandt?) Jeg går altså i seng nu.

Kommentar
Fra : srhansen


Dato : 14-07-03 10:40

Hej igen

Poe
Jeg benytter norton antivirus, så jeg tror ikke det er det.

dk
Jeg prøvede som du skrev, men da jeg starterde op i morges var nøglerne overskrevet igen-desværre.

als
Jeg har downloadet HijackThis og klistrer loggen ind herunder. Det er da vist tydeligt at se der er noget galt, hvordan er den kommet ind ? Det må være enten java eller activex, da de var disablet i min router da det skete.

[kode]
Logfile of HijackThis v1.95.0
Scan saved at 10:27:16, on 14-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
E:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Program Files\Internet Eraser\cseraser.exe
E:\Program Files\SpamPal\spampal.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~3\FLASHGET\flashget.exe
C:\totalcmd\TOTALCMD.EXE
H:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%63/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e%63%67%69?%33%34%34%30%31%32 about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O1 - Hosts: 1123694712 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll
O2 - BHO: (no name) - {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} - E:\Program Files\Internet Eraser\PKExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~3\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "e:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [sysPnP] C:\WINDOWS\System32\bootconf.exe
O4 - Startup: AbsoluteShield Internet Eraser.lnk = E:\Program Files\Internet Eraser\cseraser.exe
O4 - Startup: SpamPal.lnk = E:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~3\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~3\FLASHGET\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: AbsoluteShield Internet Eraser (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\default.css
[/kode]

mvh srhansen

Accepteret svar
Fra : als

Modtaget 200 point
Dato : 14-07-03 13:20

Disse skal fixes
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63 %68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d /%7a/%63/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6 d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6 d/%7a/%61/%78%31%2e%63%67%69?%33%34%34%30%31%32 about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73 %65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77% 73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%3 2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6 d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77% 73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%3 2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O1 - Hosts: 1123694712 auto.search.msn.com

Men jeg kommer med flere så afvent.

Kommentar
Fra : als


Dato : 14-07-03 13:47

Disse nedenunder skal også fixes. Dog skal de linier hvor Flashget er nævnt IKKE fixes hvis Flashget er et kendt program for dig. Husk at når du har sat flueben ved de der skal fixes må du kun have et browservindue åbent, nemlig det med HijackThis. Derefter skal du genstarte når du har fixet.
Bagefter skal du gå ind i din IE opsætning og kigge på Websteder du
har tillid til da flg. har tendens til at lægge sig der
*.coolwebsearch.com, *.coolwwwsearch.com med flere
De skal slettes selvfølgelig. Altså alle dem du ikke selv har sat op under websteder du har tillid til skal slettes og pc'en genstartes igen bagefter.

Husk at proceduren skal følges nøjagtig. Bagefter kører din pc fint som den skal igen. Her er resten af slynglerne:

O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~3\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [sysPnP] C:\WINDOWS\System32\bootconf.exe

O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~3\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~3\FLASHGET\jc_link.htm


O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O19 - User stylesheet: C:\WINDOWS\default.css






Kommentar
Fra : srhansen


Dato : 14-07-03 14:04

winshow.dll
og bootconf.exe

Er du sikker ?

Benytter den en dll, dirty bastard, så tro da pokker den ikke lige er sådan at finde !!

mvh srhansen

Kommentar
Fra : als


Dato : 14-07-03 14:25

Helt sikker med winshow.dll og bootconf.exe. De er typiske for lige netop den og jeg har fået informationerne fra meget pålidelige kilder. Så det er jeg helt sikker på.

Kommentar
Fra : als


Dato : 14-07-03 14:39

Du må gerne køre HijackThis bagefter igen og kaste loggen ind her så vi lige kan tjekke efter om du har fået alt med.

Kommentar
Fra : dk


Dato : 14-07-03 14:42

av for den
tak for kaffe....
go arbejdslyst srhansen

>> als, kan en "system restore" ikke klare dette ?

Kommentar
Fra : srhansen


Dato : 14-07-03 14:54

Hehe, endelig fik vi kål på den !! Det hjalp

Nu ser min log så sådan ud:

[kode]
Logfile of HijackThis v1.95.0
Scan saved at 14:47:55, on 14-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
E:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Program Files\Internet Eraser\cseraser.exe
E:\Program Files\SpamPal\spampal.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\totalcmd\TOTALCMD.EXE
H:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://home19.inet.tele.dk/portal1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O1 - Hosts: 1123694712 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} - E:\Program Files\Internet Eraser\PKExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~3\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "e:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - Startup: AbsoluteShield Internet Eraser.lnk = E:\Program Files\Internet Eraser\cseraser.exe
O4 - Startup: SpamPal.lnk = E:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~3\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~3\FLASHGET\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: AbsoluteShield Internet Eraser (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\default.css
[/kode]

Tusind tak for hjælpen til alle der forsøgte at hjælpe og tusind tak og 200 point til dig als, som fik has på dyret. Det var da virkelig en beskidt fætter !!

mvh srhansen

Kommentar
Fra : als


Dato : 14-07-03 14:56

dk> nej det kan den ikke. Jeg har selv haft det samme i tankerne og har også udført forsøget, men hele gøgemøget var der stadigt. De er simpelt hen så dygtige nu. Og dygtige til at skjule sig under kendte navne. mssgs.exe er f.eks. en virus selv om mange tror den tilhører messenger. En af dem som srhansen skal slette er f.eks. User stylesheet: C:\WINDOWS\default.css. Den har intet med cascading style sheet at gøre, men mange glemmer at slette lige netop den, fordi at de tror det er css. Sådan kan de skjule sig nu.


Godkendelse af svar
Fra : srhansen


Dato : 14-07-03 15:02

Flot arbejde als. Endelig fik jeg has på den "sucker"
Og igen mange tak til jer andre                        

Kommentar
Fra : als


Dato : 14-07-03 15:04

Vi skal lige efter den engang til. Der røg en del i første ombæring med disse skal fixes igen. Fremgangsmåden er som tidligere, og husk endelig at følge proceduren nøje. Din startside tager vi lige med denne gang. Du kan jo sagtens oprette den igen. Husk endelig den sidste, den med css. Og smid så loggen ind her igen. Er lige borte en times tid.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://home19.inet.tele.dk/portal1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%7 3%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%33%34%34%30%31%32
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O1 - Hosts: 1123694712 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\default.css



Kommentar
Fra : dk


Dato : 14-07-03 15:20

>> als oki tak for det.....
jeg har haft en farlig bøvl med lige netop mssgs.exe har blevet ved med at lægge sig i vores router.

meeen vi er vel lige så snu som de er spejet.
eller er det omvendt.

Kommentar
Fra : als


Dato : 14-07-03 16:53

Ja, det er pudsigt med den messenger. Den rigtige har et m i midten, altså msmsgs.exe.
messenger.exe er også dårlig, men msnmsgr.exe er ok. Og banditterne har ene og alene gjort det for at brugerne skal undgå at fjerne de dårlige. Hver gang jeg beder en bruger fjerne messenger.exe lyder der et jammerskrig. Stop - holdt! Det er jo min messenger, men det er det bare ikke.

Kommentar
Fra : als


Dato : 14-07-03 18:50

Håber du lige får klaret det sidste også. Tak for points! mvh als

Kommentar
Fra : srhansen


Dato : 14-07-03 20:11

Så ser den sådan ud:
Logfile of HijackThis v1.95.0
Scan saved at 20:08:59, on 14-07-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
E:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Program Files\Internet Eraser\cseraser.exe
E:\Program Files\SpamPal\spampal.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\totalcmd\TOTALCMD.EXE
H:\temp\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} - E:\Program Files\Internet Eraser\PKExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~3\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "e:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - Startup: AbsoluteShield Internet Eraser.lnk = E:\Program Files\Internet Eraser\cseraser.exe
O4 - Startup: SpamPal.lnk = E:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~3\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~3\FLASHGET\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: AbsoluteShield Internet Eraser (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



mvh srhansen

Kommentar
Fra : als


Dato : 15-07-03 10:36

Hold kæft (undskyld) hvor ser den log flot ud nu. Du er totalt renset for skidt og møg. Nu kan du roligt ta' til stranden

Kommentar
Fra : srhansen


Dato : 15-07-03 11:22

Tak als, det vil jeg så gøre takket være dig

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 176897
Tips : 31928
Nyheder : 719565
Indlæg : 6404472
Brugere : 218793

Månedens bedste
Årets bedste
Sidste års bedste