/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn 

Kodeord  


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 69375
o.v.n. 67550
refi 58409
Manse9933 45149
tedd 44737
molokyle 40677
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Hijackloghis
Fra : Andreas1982
Vist : 411 gange
50 point
Dato : 20-07-04 01:03

Her er så den første hijacklogthis jeg er blevet bedt om at se på oge jeg har mine anelser ang. IWEBSEARCH, men kast lige et blik på den og sig om i kan finde noget....

Venlig hilsen
Andreas1982

--------------------------------------
Logfile of HijackThis v1.98.0
Scan saved at 00:39:25, on 20-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programmer\Norton Personal Firewall\IAMAPP.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\Winamp\eMusic\eMusicClient.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\KNet Utility\KNet Utility.exe
C:\Program Files\KNet Utility\KNet Utility.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton Personal Firewall\NISUM.EXE
C:\Programmer\Norton Personal Firewall\NISSERV.EXE
C:\Programmer\Norton Personal Firewall\SymProxySvc.exe
C:\Programmer\Norton Personal Firewall\ATRACK.EXE
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\SALLYL~1\LOKALE~1\Temp\Rar$EX00.814\HijackThis.exe
C:\Programmer\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programmer\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programmer\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programmer\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Programmer\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [K-Net Utility] "C:\Programmer\KNet Utility\KNet Utility.exe" -winstart
O4 - HKCU\..\Run: [Devix's K-Net Utility] C:\Program Files\KNet Utility\KNet Utility.exe -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm796
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab



 
 
Accepteret svar
Fra : lengberg

Modtaget 50 point
Dato : 20-07-04 06:05

Hej Andreas1982
Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Fix:
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programmer\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programmer\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm796
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSe tup1.0.0.8.cab

Find og slet: C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE<<<Mappen

Send en ny log fil



Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:14

Hvis jeg har forstået dig ret skal jeg bede vedkommende om at slette mappen MyWebSearch på C-drevet.

De andre kan jeg godt få hende til at fixe, men det er den sidste jeg er bekymret for.
Det er en af min kærestes veninder, og det hele klares via MSN og det tager altså sin tid..... Brugte ca. 3 timer på at forklare hvordun hun kørte Ad-aware, Spybot og Hijackthis, så det her ser langtrukket ud... ;)

Men har jeg forståer dig ret at det er hele mappen der skal væk eller er det bare MWSOEMON.EXE ?

Venlig hilsen
Andreas1982

Kommentar
Fra : BjarneD


Dato : 20-07-04 10:30

Hvorfor ikke bare køre CWShredder, som jo også plejer at fjerne MyWebSearch
http://home8.inet.tele.dk/fbj/CWShredder.exe
Så vidt jeg kan se er der ingen tvivll om at det er det eneste problem på denne Acer Notebook

Kommentar
Fra : lengberg


Dato : 20-07-04 10:36

Ja, det er mappen. Et forslag? lav et link i MSN til det spg. her, så kan hun følge med.
http://www.kandu.dk/dk/spg/45436

Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:37

Hehe!
Det er en ret mystisk startside, for en 20årig kvinde, ikke?
Man kunne endda forstå det hvis det var buddyhollys hjemmeside

Lad os holde os til de mest simple midler..... Gider ikke at bruge 10 timer på at guide hende igennem junglen.

Kommentar
Fra : lengberg


Dato : 20-07-04 10:41

Ok,du bestemmer Er det Acer du mener?

Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:46

Jeps!

Kommentar
Fra : lengberg


Dato : 20-07-04 10:49

Ja, det virker lidt underligt, hvis hun ikke aner noget om computere! Tror du, hun kan finde ud af at skifte den?

Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:53

Ja - jeg har lavet en .reg fil hun skal køre og så får hun den hjemmeside hun vil have + at hun lukker ned for muligheden for at spywaren skifter hjemmesiden.
For at lave startsiden om skal hun nemlig ind i regedit og hun tør ikke engang at åbne kommandoprompten, såeee.... Hun kontakter mig vel når hun vil have den lavet om går jeg ud fra.

Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:53

Ja - jeg har lavet en .reg fil hun skal køre og så får hun den hjemmeside hun vil have + at hun lukker ned for muligheden for at spywaren skifter hjemmesiden.
For at lave startsiden om skal hun nemlig ind i regedit og hun tør ikke engang at åbne kommandoprompten, såeee.... Hun kontakter mig vel når hun vil have den lavet om går jeg ud fra.

Kommentar
Fra : Andreas1982


Dato : 20-07-04 10:54

- men hun er yderst modig når det gælder downloads med smilies og andre farvestrålende ting ;)

Kommentar
Fra : Andreas1982


Dato : 20-07-04 11:02

Må lige spørge om det her.....

Når i kigger sådan en log igennem hvad går i så efter?
Dette er min første gang og jeg går bare efter det der ligner sådan noget gratis halløjsa der evt. kunne være problemfyldt og retter det så....

Jeg kan se at alle de foreslåede rettelser drejer sig om mywebsearchbar, som jeg også var mistænksom overfor, men er det bare sådan det gøres??

Kommentar
Fra : lengberg


Dato : 20-07-04 11:20

Vi går efter mistænkelige ting, som man lærer at finde efter mange "øvelseslogfiler" og er på forkant mht nye infektioner. Du kan kigge lidt på den side her: http://qrts.dk/hijackthis.php

Godkendelse af svar
Fra : Andreas1982


Dato : 21-07-04 20:03


En besvarelse der endda gik udover det forventede....

Tak skal du have lengberg.
                        

Kommentar
Fra : lengberg


Dato : 22-07-04 03:55

Velbekomme

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 173636
Tips : 31664
Nyheder : 719565
Indlæg : 6383611
Brugere : 218258

Månedens bedste
Årets bedste
Sidste års bedste