25. juni 2003 - 21:39Der er
125 kommentarer og 1 løsning
Fremmed startadresse der ændre ordinær startadresse til Explore
Kære Ekspert! Undertegnede var så uheldig at få en trojansk hest og masser af virus på filer, dette har jeg fået fjernet med supersystemet lavasoftusa fra jeres webside, nu har jeg "kun" problemet at ved opstart af PC er der en kedelig adresse der går ind og overtager tdc onlines startadresse, så før jeg åbner Explore skal jeg ind i internetindstillinger og ændre denne kedelige adresse, ellers eksploderer åbningen af vinduer i løbet af brøkdele af sekunder, tror Eksperten det er muligt at hjælpe mig. En noget langt nede i kulkælderenhilsen Lars-Ole
Hej *S* og i andre. Tak for forløbige råd, har downloaded spywarefri og med min meget lille viden alligevel skannet og fundet den formastelige synder af adresse som går ind og ændre startadressen til explore ved åbning af PC, jeg har lavet en log som i gerne vil se, men findes der en e-mail adresse jeg kan sende til, er det muligt at sende en adresse til min mail. jeg brøvede at skanne og fjerne den ukendte adresse, men den er der stadig, men jeg håber i måske kan se hvordan jeg kommer til bunds i problemerne. Mange venlige hilsner Lars-Ole
Logfile of HijackThis v1.95.0 Scan saved at 22:51:51, on 25-06-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Netmeeting, er det noget du selv har installeret, ellers skal disse to fixes. O4 - HKLM\..\Run: [NTsocket] C:\Progra~1\NetMeeting\conf\NoeWinnt.exe O4 - HKLM\..\RunServices: [WinSocketComponent] C:\Progra~1\NetMeeting\conf\nthost.exe
Det er meget vigtigt at alt andet er lukket ned mens du lader Hijackthis fixe. Når du har gjort det og genstartet, så læg lige en ny log herind. Hvis du bruger ME eller XP SKAL du slå systemgendannelse fra, inden du fixer.
Hej fromsej! Tak for informationerne, nej jeg har ikke installeret noget, men har vekslet lidt imellem de to firewalls zonealarm (den mindste)og norton, og det var zonealarm der var sat til på tidspunktet hvor der slap noget ind i min PC, nu bruger jeg udelukkende norton på højeste niveau, og den blokerer virkelig godt,så nu gælder det startadressen, men jeg tror jeg allierer mig med en der ved meget mere om det hele så der ikke sker nogen fejl, jeg har desuden også fundet ud af at der er selvinstalleret, speciel dialer som hedder, http://speed-dialers.com/dm/in.php?id=tsd0314&link=ebs Jeg tror også at den har en finger med i spillet men er ikke sikker, jeg tør ikke røre ved for meget da jeg er en nybegynder inden for denne slags teknik. Jeg skal nok give en melding når jeg har haft besøg af en klog mand. Forløbig mange gange tak. Med venlig hilsen lars-Ole
De ting jeg har skrevet skal fixes, kan du roligt gøre. Du starter Hijackthis igen, og når du har scannet, markerer du de linier jeg har skrevet. Vælger Fix checked, og dine problemer burde være løst.*S* Husk, at alle andre programmer skal være lukkede imens, og husk at slå systemgendannelse fra, hvis du kører ME eller XP. Men du kører vist Win2K. Jeg kigger lige lidt på Speed-dialers imens.
Pu-ha Spyware fandt en masse som nu er væk, men en eneste dialer kan den ikke fjerne, den skriver at den stadig er aktiv i hukommelsen, den hedder WebDialer aka DialerFactory aka HighSpeed og firma-Url http://www.dialerfactory.com/ som har 28 lande under sin kappe,den kan jeg ikke fjerne, så viser Norton at der er en Backdoor Trojan på PCen som den ikke giver adgang til, jeg har haft fjernet alle de steder som du indikerede, jeg har lige kørt hijaker igen og der er de kedelige adresser igen ihverttilfælde nogle af dem, du får lige log så kan det være at du kan se om der skulle være en ekstra adresse der kan fjernes, men jeg kommer nærmere målet, for hvis det er den sidste der installerer adresser så kan det være den også kan findes Logfile of HijackThis v1.95.0 Scan saved at 20:55:37, on 26-06-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Af hensyn til WebDialer.... - hvis du bruger winXP så prøv at trykke ctrl-alt-del, gå ind under processer og luk evt. mistænksomme programmer ned så burde Spy-tingen kunne fjerne den helt
Et kæmpearbejde du laver her fromsej. lars-ole husk lige at når du skal fixe skal så meget lukkes ned som muligt og vigtigt er det at der kun er et browservindue åbent nemlig det med HijackThis. Hvis man ikke gør det risikere man at de netop fixede dukker op igen, men det kan de nu godt gøre alligevel.
Af hjertet tak, Perhaps.*S* Jeg er vist for træt til at tænke klart lige nu. Så mangler vi bare en tilbagemelding fra Lars-Ole.
Synes godt om
Slettet bruger
26. juni 2003 - 22:20#37
perhaps>>Glimrende scanner, fandt lige 2 stk. hos mig som jeg ikke anede jeg havde. Det er nu rart at der findes sådanne steder som man kan benytte dig af uden at skulle købe et dyrt stykke software :-)
Jeg har ikke fixet noget endnu fordi, billedet har ændret sig en adresse er forsvundet og det er den tredje R0, så har jeg fået detaljeret info der forklarer følgende: A Registry value that has been created is not present in a default Windows install nor needed, possibly resulting in a changed IE Search Page, Start Page, Search Bar Page or Search Assistant. Dvs. at selvom jeg fixer resterende så kommer der nye ind på min pc igen, det er lige til at gå i knæ på
På Norton viser den at det er: Default Block Backdoor/Superseven Trojan horse Som er en i Romænien med: inetnum 80.96.98.0-80.96.98.255 netname M-AND-M-COMPUTERS
Jeg har på fornemmelsen at vedkommende kan se hvad jeg hele tiden laver, og ændre før jeg kan nå at udføre fixing,
Hvis din HD er Fat32, så hent og kør F-Prot. http://www.avirus.dk/avirus.htm - F-Prot DOS virusscan Din sidste bemærkning, hvis du prøver at slukke helt for dit modem, og så kører Hijackthis, du har vel efterhånden fået en fornemmelse af hvilke ting der er snavs, og prøver at fixe selv, så skulle det være fint.
kl 00.29 Sidste nye log, det snurre i mit hoved, kan ikke huske den ene ekstra adresse jeg fixede, jeg kører opdate på spyware hver gang, kunne stadig kun finde den ene dialer på spyware som er i Program files c:\program files\dialers Lukker også ned nu er for træt.
Logfile of HijackThis v1.95.0 Scan saved at 00:22:18, on 27-06-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Tog et hovedspring hen til PCen, åbnede og brugte hijack og logen havde ændret sig uden min medvirken de kedelige adresser var forsvundet som ved et trylleslag, og så var jeg inde at kontrollerer internetindstillinger og startadressen opasia var der stadig, så kørte jeg spyboot, der er endikationen for en dialer som vises: Web dialer Programfiles c:\WINNT\System 32\logon.exe og samtidig kommer Norton med advarselsskilt som indikerer Backdoor Trojan nægtet adgang, dette efter jeg har fixet de to 04er du har indikeret ovenfor
Logfile of HijackThis v1.95.0 Scan saved at 11:17:37, on 27-06-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Spyboot kan ikke fjerne den, spyboot har fjernet en masse andet, men lige den, kan den ikke fjerne, den indikeres af spyboot som Webdialer: programfiles c:\program files\dialers, og når jeg kører spyboot på den viser Norton advarselsskilt med en Backdoor Trojan nægtet adgang, er det muligt også at fjerne dialeren som tilsyneladende prøver at åbne for backdoor trojan, men er det muligt at fjerne, ja så er der styr på det hele.
Kan godt forstå det irriterer dig. Der ligger en server som er lagt af en trojaner og nu kan trojaneren ikke få kontakt med serveren for det nægter Norton at give den. Prøv lige onlinescanneren fra Spywarefri igen og se hvad den siger. Den har jo flere dialere i databasen. Noter lige navnet på dialeren, også selv om du kan fjerne den ved hjælp af onlinescanneren. http://www.spywarefri.dk/spywarefri-onlinescan.htm
I morges hvor du gav mig anvisninger udførte jeg dem, i mellemtiden downloadede jeg fra jeres værktøjsside X-cleaner, SpywareGuard, SpywareGuard LiveUpdate og PopUp Sweeper, men jeg kan nu se at det er Spywarebot og ikke Spywarefri jeg har installeret gør det nogen forskel, ellers må jeg ændre, men da jeg i formiddags kørte X-cleaner fandt den noget som jeg fjernede, men det hele gik så hurtigt at jeg i min søvnige tilstand ikke nåede at noterer, det er jeg ked af for det kunne nok have været en hjælp i jagten på webdialeren, er der andet jeg kan gøre
Har lige kørt Spybot igen og den viser i info følgende: Firma: Produkt: Webdialer aka DialerFactory aka HighSpeed Risikoprofil: Dialer Firma-URL: http//www.dialerfactory.com/
Ja, det hjælper. Det er den vanskelige fra dialerfactory, men den burde onlinescanneren kunne fjerne og egentlig også spybot for den ligger også i dens arkiv. Har du opdateret Spybot? Der kom lige en ny opdatering igår eller var det i forgårs? og dialerfactory er rimelig ny.
Jo selvfølgelig, det er mig der vrøvler, jeg har Spybot. Jeg har været inde i Norton aktiviteter, og der angiver norton jeg har en inficeret fil C:\WINNT\System32\logon.exe og så angiver norton en Backdoor Trojan denne har jeg også set er registreret i norton over trojanske ulykker, men de her ting er åbenbart noget der er godt gemt, da jeg ikke kan skanne/finde/slette dem hverken med Hijack,Spybot eller X-Cleaner, men det skal siges at Spybot kan finde webdialeren, men ikke fjerne den da den skriver filen stadig er i systemets hukommelse, har opdateret Spybot hver gang jeg åbnede og det er mange gange, den skriver der ikke for øjeblikket er nye opdateringer.
Jeg har lige et enkelt spørgsmål.*S* Hvilken version af ACDSEE har du, jeg synes ikke jeg kender Imagefox. O4 - Global Startup: ImageFox.lnk = C:\Programmer\ACD Systems\ImageFox\ImageFox.exe
Jeg har version 4,0 ag foxen har været der lige så længe uden problem. jeg var ved at prøve at skanne med systemet for trojans, men der er et massivt PCangreb igang fra Rusland og jeg bliver spurgt om den IP adresse som fremkommer er min egen, men helt ærlig så kan jeg ikke huske den, jeg er bange for hvis det er de fremmede der prøver at komme ind, så hvordan finder jeg min rigtige IP adresse
Synes godt om
Slettet bruger
27. juni 2003 - 22:37#72
Start en dos boks op og skriv: ipconfig så kan du se den.
fromsej>Jeg har altid været lidt forsigtig med den logon, men de par gange hvor den blev fixet skete der ikke noget. Jeg tror ikke man skal gøre det generelt så du har IKKE overset noget, men trojanen kan faktisk kun sidde der i dette tilfælde. Jeg vil dog klart anbefale en trojanscanning hos pcflank først.
Jeg ved ikke hvordan man laver en dosboks, i skal vide at jeg ved meget lit om PC så jeg følger slavisk hvad jeg får besked på men er klar til at prøve at lave en dosboks, men jeg behøver vejledning. kan det være rigtig at jeg skal logge ud hver gang jeg skal have jeres nye vejledning frem
Hvis du vil være helt sikker på at den bliver fjernet så kan du få en 30 dages version af verdens bedste trojanfjerner her. Så fjerner den trojaneren uden at du behøver at have nerverne uden på trøjen http://www.misec.net/trojanhunter/ Den VIL fjerne den, men det er et halvdyrt program når de 30 dage er gået.
Synes godt om
Slettet bruger
27. juni 2003 - 22:54#76
Start - Programmer - Tilbehør der ligger den. Du kan trykke på F5 for at opdatere siden her, du behøver ikke at logge ud og ind igen :-)
Første angivne skanner ville ikke køre, den blå bjælke forneden kom knapnok halvvejs, har ventet i 20 min men intet skete, så skriver microsoft at siden er forældet og at de ikke sender oplysningerne igen, mon ok hvis jeg nu prøver verdens bedste trojan fjerner hvordan kommer jeg så ud af kløerne på dem inden taxameteret begynder at køre
Jeg har downloaded den skrappe version af trojan hunter til 30 dage, jeg har brugt den og den viser 6 trojans, problemet er bare at jeg er for dum til at bruge den da jeg ikke ved hvordan man sletter de fundne trojans, kan ikke finde en delete eller remoteknap, er der nogen der ved hvordan jeg sletter på det system
Lars-ole>>Det hedder ikke for dum, det hedder jeg kan ikke lige overskue funktionaliteten i programmet.*S* Hvis du ikke kan klare det ved hjælp af Perhaps´s svar, så må jeg jo prøve at installere det, og lave en vejledning til dig.(Hvis jeg kan*S*)
ved ikke hvad der skete men havde lavet en lang rapport til jer,den forsvandt bare i den blå luft, prøver igen senere skal hjælpe med at flytte for en ven.
Jeg fik endnu et svar fra TrojanHunter. Det kan man da kalde service. Sig lige til hvis du ikke forstår det:
You may be confusing "possible trojans" with "trojans". "possible trojans" are "suspicious files" that are flagged by heuristic detection. a cleaning option is not presented in that case, whereas with an actual trojan, the cleaning option would be presented. the suspicious files should be investigated. if they are "false positives", they can be added to the ignore list, or simply ignored. the files can be uploaded at the kaspersky website for analysis, or forwarded to TrojanHunter for analysis if there is a question about their being trojans, or not. also, while the trial version cannot be automatically updated, it can be manually updated.
Hej perhaps-fromsej Har manuelt skrevet rapporten af så du/i kan se den, men som jeg kan se af ovenstående er det der kaldes mulige trojanske downloadfiler ikke farlige, der er kun den der C:WINNT osv. som jeg også har set i forbindelse med den webdialer som ikke kan fjernes. Men i skulle se hvormange trojaner angreb der er på min PC Der er tre som hele tiden prøver at komme ind "Trojan dropper" "Download Trojan" "Backdoor Trojan" det er uhyggeligt Norton viser røde skilte når jeg bruger skannersystemer og lign. og indikerer konstant at den har blokeret for en ubrugt port, nå men nu rapporten som jeg nu har lavet på wort så den ikke ryger igen. No suspicius open port found
Memory scan: No trojan found in memory
File scan: Erro : Directory not found: A:\
Found possible trojan file: • C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\dload.exe (Possible Trojan downloader) • C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\ICD2.Tmp\ader.exe (Possible Trojan downloader) • C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\ICD3.Tmp\ader.exe (Possible Trojan downloader) • C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\ICD4.Tmp\ader.exe (Possible Trojan downloader) • C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\ICD5.Tmp\ader.exe (Possible Trojan downloader) • C:\ WINNT\system32\Browser_Plugin.exe/ZyOECJD.exe (Possible Trojan downloader)
Erro: Directory not found: D:\ Erro: Directory not found: E:\ No Trojan files found.
Jeg havde håbet på at jeg manuelt kunne fjerne de ovenstående mulige trojans. Hvornår holder i weekend, jeg kunne forstille mig at jeg er ved at være en ret træls person med alt det bøvl i har, men jeg kan jo se at der kommer mere og mere skik på det hele så mit humør stiger i hvert tilfælde
De .exe filer skal vi have fjernet, hvor velbevandret er du i DOS? Har du tjekket om din HD er Fat32 eller NTFS? Jo, vi holder weekend.*G* Men jeg ville fandens gerne have løst det her først, så kan du jo komme og slå min græsplæne.*G*
Aner ingenting har meget dårlige erfaringer i den retning har faktisk fået min gamle pc til at gå i sort så alt skulle genoprettes, så jeg har ikke engang tænkt i den retning det var en lærestreg af klasse, men jeg kan vel ved vejledning finde ud af det, lige som da jeg skulle finde IP adressen
OK, Dobbeltklik på "denne computer", højreklik på din Harddisk ( C-drev ), vælg egenskaber, så får du et billede hvor du kan se Filsystem, der står der enten Far32, eller NTFS.
Far32*LOL*, det må være varmen, det er selvfølgelig FAT32. Græsplænen er slået. Har du ICQ, det er meget nemmere, så skal jeg nok tage skraldet bagefter.*G* Mit Nr er: 144153861
Sa.... , så kan vi ikke fra DOS. Prøv i Stifinder at klikke dig frem til C:\Dokuments and settings\Administrator\Lokale indstillinger\ Temp\ Se om du så kan slette de filer og mapper du får fejlen i.*S*
Hvordan, det er jo et kæmpesystem og jeg ved ikke hvordan jeg skal fremkalde de kommandolinier, skal jeg bare slette mapper uden at kunne se hvad kommando de har
Sidste forsøg, inden du bliver nødt til at installere ICQ. Alle mapper der er efter mappen \temp kan du roligt slette, det er bare affald, spørgsmålet er om du får lov. Klik Start-Kør skriv CMD tryk <Enter>, så skulle du gerne være i Dosprompt. Der står C:\> Skriv CD Dokuments and settings\Administrator\Lokale indstillinger\ Temp <Enter> Så er du i \temp Skriv del dload.exe <Enter> Prøv det, og vend så tilbage, jeg hænger på nu til den bitre ende.
larsolehansen@privat.tdcadsl.dk Efter at have prøvet at downloade gik alt i hvidt jeg kunne ikkeengang komme tilbage til din side så der måtte en genopstart til
Logfile of HijackThis v1.95.0 Scan saved at 19:43:25, on 28-06-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
lars-ole jeg begynder at tro at du har det man kalder "false positive" dvs at du ikke har trojaner. Jeg støtter mig til TrojanHunter som jeg før har sagt er verdens bedste trojanværktøj.
Statusrapport: Det endte med en tur til Kolding, der fik jeg scannet Lars-Oles PC igennem med alt hvad der findes af scannere plus et par mere, det lykkedes også at få slettet den Dialer, som havde gemt sig så godt at hverken Spybot eller ActiveX scanneren fra Spywarefri´s forside kunne få has på den. Jeg måtte, som administrator, overtage ejerskab på mappen, og gøre den ubeskyttet og sletbar, hvorefter det var en sand fornøjelse at trykke på <Shift><Del> og sidde og vinke FARVEL til den lille satan.*G* Så i skrivende stund er Lars-Ole´s PC ren, og der er installeret Spywareblaster, spywareguard, IE-Spyad, Internet Sweeper og CookieWall på den, så den er godt beskyttet. Hvis der er nogen der får ondt i r.... over at jeg med stor glæde modtager point for min indsats, skal de være velkomne til at anmelde mig.*G*
Synes godt om
Slettet bruger
29. juni 2003 - 20:19#124
Ok så anmelder jeg squ' dig :-)
Næ spøg til side, jeg synes du og vel egentlig også perhaps har gjort en stor indsats her, så tag bare de point :-)
Hermed en rigtig stor tak til jer alle som har gjort en kæmpeindsats i det store arbejde at komme alle mine PCproblemer til livs, i skulle alle have haft en ordentlig bunke point, men det er vist ikke muligt. Endnu engang mange tak fra en glad lars-ole med en ren og beskyttet pc
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.