/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn 

Kodeord  


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Yahoo-messenger hijack, hjælp til log
Fra : srhansen
Vist : 501 gange
55 point
Dato : 23-01-04 20:54

Hej
Jeg har desværre pådraget mig et hijack er der en venlig sjæl der vil tyde min log.
Der venter ydeligere 200 dask i dette spørgsmål, hvor loggen ligger
http://www.kandu.dk/dk/spg/29795

mvh srhansen

 
 
Kommentar
Fra : arlet


Dato : 23-01-04 21:23

kigger lige loggen igennem.


Kommentar
Fra : arlet


Dato : 23-01-04 21:39

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.frac.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.yahoo.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] E:\PROGRA~3\YAHOO!\MESSEN~1\ypager.exe -quiet
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
-----------------------------------------
kører du med proxy lader du denne være, ellers skal den væk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=127.0.0.1:80

Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\UpdReg.EXE
E:\PROGRA~3\YAHOO!\MESSEN~1\ypager.exe



Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Kommentar
Fra : tedd


Dato : 23-01-04 21:48

Er Yahoo messenger snavs?

Kommentar
Fra : srhansen


Dato : 23-01-04 22:12

Hej igen

tedd, alt hvad der ikke laver uninstall når man beder om det er snavs i min verden Yahoo messenger er vel godt nok, hvis man har noget at bruge det til. Jeg skulde bruge det til at sende SMS'er fra min computer af, men det virkede kun for pakistan og indien, så jeg valgte at afinstallere det igen. Desvære afinstallerede programmet ikke som lovet, men blev ved med at poppe op når jeg startede IExplorer, derfor vil jeg have det fjernet nu. Alt tyder nu på at Arlet har fået det fjernet

Her er loggen

[kode]
Logfile of HijackThis v1.95.0
Scan saved at 21:54:56, on 23-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
E:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\PROGRA~3\B'SCLI~1\Win2K\BSCLIP.exe
C:\WINDOWS\system32\RAMASST.exe
E:\Program Files\Internet Eraser\cseraser.exe
E:\Program Files\SpamPal\spampal.exe
C:\totalcmd\TOTALCMD.EXE
H:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.yahoo.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=127.0.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} - E:\Program Files\Internet Eraser\PKExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~3\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "e:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [B'sCLiP] e:\PROGRA~3\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "e:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: AbsoluteShield Internet Eraser.lnk = E:\Program Files\Internet Eraser\cseraser.exe
O4 - Startup: SpamPal.lnk = E:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~3\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~3\FLASHGET\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~3\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: AbsoluteShield Internet Eraser (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[/kode]

Tilsyneladende er min computer messenger fri

Sig mig Arlet er der ikke lidt rigeligt svchost.exe kørende på computeren ?

Citat
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe


mvh srhansen

Kommentar
Fra : arlet


Dato : 23-01-04 22:12

nej, normalt er det ikke. Men han er generet af yahoo, så vi fjerner det hele, så må han prøve at installer det igen bagefter

Accepteret svar
Fra : arlet

Modtaget 55 point
Dato : 23-01-04 22:19

Så er loggen ren og du kan aktiver din systemgendannelse.

Jeg viste ikke om du ville have din startside væk også, kan se at det ville du ikke*S*

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

ps. De svchost.exe, der ligger i system32 mappen er helt legale og der kan være op til 5 af dem, så ingen problemer der.

Godkendelse af svar
Fra : srhansen


Dato : 23-01-04 22:33

Tak for svaret arlet Hvilken befrielse

Haha , nej jeg valgte at beholde min startside Jeg ved godt jeg burde have fjernet den for at gøre som du skrev, men jeg mente at kunne gennemskue, at det var min startside........tilgiv mig

Jeg kviterer lige for din insats i det andet spørgsmål også !!

Endnu engang tak for din hjælp
Srhansen ô¿ô
                        

Kommentar
Fra : arlet


Dato : 23-01-04 22:39

Velbekommen og godt gennemskuet

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 176897
Tips : 31928
Nyheder : 719565
Indlæg : 6404468
Brugere : 218793

Månedens bedste
Årets bedste
Sidste års bedste