Underlig browser ????

Jeg tror at du har fået installeret noget snavs som ændrer browseren. Ikke nødvendigvis en virus. Du kan være kommet til at trykke ja til en installation eller have fået det sammen med noget andet du har installeret.
Kig i tilføj og fjern programmer om der ligger noget som ikke skal være der.

Det er noget af det første jeg gør ..... Der er intet snavs installeret . Jeg har også checket i regedit ... intet ser unormalt ud ....
Checker den lige med AD-Aware, og ser om der skulle være noget der :)

Ja du har nok desværre fået noget IE browser plugins. Du kan gøre flere ting. Kig på denne side http://www.spywarefri.dk/vaerktoj.htm her er en masse forskellige værktøjer du frit kan benytte dig af. HiJackThis burde kunne tage den. Aluria kan du også benytte samt BHODemon. Hvis du skal have hjælp til at tyde log må du gerne prøve at tage en kopi og smide herud så skal jeg kigge på den. Du skal efterfølgende installere HiJack Blaster IE-spyad, Ad-aware, Spywareblaster samt Startupmonitor - bare et godt råd

Svaret er enkelt. Din browser er blevet hijacked. Du kan læse alt om den slags på Spywarefri.dk. Jeg foreslår dig at du downloader HiJackThis (se værktøjer hos Spywarefri)samt kommer med dit log fra det værktøj her på siden, så skal jeg fortælle dig hvad du skal fixe (som det hedder hos HijackThis). Det er et lille men fremragende værtktøj. Når du er sluppet af med dit utøj kan du bagefter installere Browser Hijack Blaster, så sker det ikke igen.

hej aovergaard! Undskyld (næsten) samme svar, men det var ikke inde da jeg skrev mit :)

Det kigger jeg lige på !
Tak for jeres hjælp indtil videre . Kendte slet ikke spywarefri.dk - mystisk ;)
Jeg driver selv www.freefiles.dk , så jeg vil da benytte mig af jeres gode råd og bringe linket til den under mine LINKSIDER :)
Og jeg er selvfølgelig retfærdig og fordeler points ligeligt , når jeg lige får renset systemet (og ser om det virker)
tak indtil videre

perhaps-> bare helt i orden vi er jo alligevel 2 alen ud af et stykke (næsten da)Vil begge alt det utøj til livs. Godt vi er enige det er vel det som det kommer an på.

Både perhaps og jeg kan kigge på din logfil hvis der er noget som du er i tvivl om. Klart at vi begge reagerer når vi ser dit spørgsmål.

Skal til og i byen, men skal nok vende tilbage senere i aften.

Hvordan ser det ud cyberjoker?

Jeg klør stadig på ......
Noget af det ser ud til at have hjulpet lidt, men af og til får jeg en login box til de sider jeg besøger (altså en hhtpauth)
Det må ligge dybere end det ....... det bliver sgu nok en format c:/ hvis det bliver ved :o(
Melder lige tilbage senere ...............

Ikke Format C: endnu.
Det er førsteholdet der er på banen her ( Perhaps-Aovergaard ), og mig på udskiftningsbænken, vi skal nok få has på bæstet.*S*

Så må du også lige installere Guart-IE - det finder du også på spywarefri. Det er gratis for 21 dage og sætter en total stopper for popup på samtlige sider.

Kør lige en HiJack This og læg lige din log her, så vi kan kigge på hvad der er noget snavs.

Hej Aovergaard

Jeg kørte lige en hurtig Hijack this på den og loggen ser således ud :


Logfile of HijackThis v1.93.0
Scan saved at 23:30:50, on 05-05-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.freefiles.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmer\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AgfaCamWatch] C:\Programmer\Agfa\AgfaCam\AgfaCLnk.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmer\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Copy handler] C:\Programmer\Copy Handler\Copy Handler.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: ImageFox.lnk = C:\Programmer\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Add to my&Favorites - C:\Programmer\myFavorites\myFavorites.hta
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Decompiler - d:\Programmer\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: SWFDecompiler (HKLM)
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: myFavorites (HKCU)
O9 - Extra 'Tools' menuitem: myFavorites (HKCU)
O16 - DPF: Win32 Classes -
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5F49A4F0-8208-4715-9F14-EA17689E58F5} - https://skinfakse.certifikat.dk/csp/authenticode/PrimeInkCSPInstall.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37725.9748263889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F2BFA3FF-D28F-4262-A058-3DEF09B3F502} (ReportAX Class) - http://www.nehuenmultimedia.com.ar/apps/spamcab.cab


Bliver du klogere af det ....?????????????
Har du iøvrigt noget med spywarefri.dk at gøre ...??? Kunne se dit navn derinde
(går jeg ud fra det er)

Ja jeg skriver lidt inde på spywarefri, og lidt klogere er jeg da blevet af at kigge på din log. Indtil nu er jeg nået hertil:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.freefiles.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmer\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AgfaCamWatch] C:\Programmer\Agfa\AgfaCam\AgfaCLnk.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmer\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programmer\Fælles filer\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
Og der er intet mistænkeligt, men der er jo meget mere, men det tager lidt tid at gå igennem.
Ved du hvad dette er : O4 - HKLM\..\Run: [Copy handler] C:\Programmer\Copy Handler\Copy Handler.exe Kan du kende det som et prg. du har downloadet?
DAP Accelrator prg. går jeg ud fra at du har downloadet og bruger er det ikke rigtigt?

Resten følger

VIGTIGT VIGTIGT

DETTE ER VIRUS
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background

Øøøhhhh... virus ... jeg vil nu påstå at det er den normale opstart af MSN Messenger i minimeret tilstand, altså som kørende i baggrunden

Copyhandler er et program vi har liggende til download på Freefiles.dk :)
iøvrigt et ret godt et af slagsen - men problemet var der også før jeg installerede dette program

Jeg havde ved en fejl skrevet at den ikke var mistænkelig, men det er virus og skal fixes af HiJack.
Det er en trojansk hest som er fulgt med i købet fra en mail som du har fået at Microsoft - troede du. Tjek lige dette link: http://forums.techguy.org/showthread.php?s=&threadid=109054

Fuldstændig rigtig ang. msn men så hedder den dette: msnmsgr.exe og er fuld legal den anden er en trojaner

Alle disse er jeg lidt usikker på og dem skal vi lige have kigget nærmere på, jeg er ikke sikker på at du bør have dem liggende:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Add to my&Favorites - C:\Programmer\myFavorites\myFavorites.hta
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Decompiler - d:\Programmer\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

Hvad med alle de knapper som du har liggende under 09 er det nogen som du selv har bedt om at få?????? De skal vist også lige kigges nærmere efter, men det må altså blive i morgen, eftermiddag eller aften. God nat

Beklager at jeg ikke havde tiden igår, men aovergaard gør et godt stykke arbejde. Med hensyn til din Google-toolbar som i nu skal til at vurdere, så har du altså sagt ja til at den løbende må opdatere sig selv, så den skal vel ikke fixes. Se lige her:

Periodically, the Google Toolbar contacts our servers to see if you are running the most current version. If necessary, we will automatically provide you with the latest update to the Google Toolbar....

så alle dem med Googlenav kan i bare sætte flueben ved.

Kører du videre aovergaard? Jeg har møde det meste af dagen. Falder måske lige forbi i pauserne.

Perhaps-> Jeg skal desværre snart afsted så det bliver først senere jeg kan kigge forbi igen og arbejde videre på det.

cyberjoke-> Hvis du ellers kender alle de der 09 extra tools, så tror jeg ikke der er mere. Nu må vi se om perhaps ikke er enig med mig i det.

Efter hvad jeg ved med hensyn til den diskuterede messenger fil, så må jeg give aovergaard ret indtil andet er bevist. Vi har tidligere diskuteret den i de amerikanske fora, og der er altså mange som tror den er legitim. Fakta er at lige netop den er en trojan. Prøv at sætte filnavnet op her (men husk at skrive rigtigt, ellers vises den legale):
http://www.pacs-portal.co.uk/startup_pages/startup_m.php
Godt set aovergaard! Den skal fixes.

Det andet skulle så være ok, men den nævnte "messenger" skal fixes. Herefter skal du genstarte pc'en. Bagefter evt. køre virus-, spyware- og trojanscanner, og så vend tilbage hertil og fortæl at nu er alt ok. (Vi tror og håber).

Hej .....det ser ud til at noget af det har virket ......
Jeg har ikke kunne afinstallere min messenger, heller ikke efter jeg havde fjernet "hide" værdien i filen sysoc.inf i min sysmappe (det skulle normalt hjælpe)
Tingrene kører ikke helt optimalt, heller ikke efter at jeg lod HiJackThis tage affære ... Så enden på det hele bliver en formatering (vidste heller ikke hvad jeg skulle lave inat alligevel ;-)

Men tusind tak for indsatsen, og jeg blev også en hel del klogere og lærte en ny fed side at kende ........

//CJ

Glemte lige : jeg fordelte point 50/50 da I begge ihærdigt forsøgte at løse problemet

Velbekommen og så takker jeg for point:)

Også tak herfra!

Jamen det er da mig der takker :O)
Så er jeg tilbage ......
en format c:/ HJALP ...... Hvorfor var der ingen der foreslog det ?? *LOL*

Hygge

//CJ
www.freefiles.dk

Så husk at få installeret diverse sikkerhedsprogrammer der er foreslået her.*S*
Det holder det værste ude.*S*

Så så fromsej - Stort *S* herfra. Hvad med dig - hvor meget fandt du?

Tror du ikke han passer bedre på en anden gang? ;-)

cyberjoker-> Er vi ikke bare søde.

Aovergaard>>Det var ikke så slemt, men inden jeg fjerner det, lader jeg lige Spybot få chancen.
Jo, jeg tror han har lært noget.
Også et *S* til dig.

*GGG* Jo I er sgu søde ......
Jeg HAR lært noget (tro mig) ;-)
Spybot bliver min faste elskerinde i fremtiden *LOL*

Og jeg fandt ikke mere snavs .....

Dejligt at høre. Bliv nu ved med det, det andet er alt for besværligt:)

DET tror jeg på .........