CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede vlklng Nybegynder
09. august 2003 - 14:34 Der er 17 kommentarer og
1 løsning

Explorer - Commercial add, kan ej fjernes.

Hej
Jeg har prøvet og få fjernet en lille pesticide i min Explorer, men uden held - hvordan den er kommet der ved jeg ikke, det er sådan at når jeg åbner Explorer kommer der en lille værktøjslinje i bunden af adresselinjen, hvor der er nogen links "Poker" "Casino" "Calling Cards" "Layguide" etc. - jeg har fjernet fluebenet (Som iøvrigt er blankt) ud for værktøjslinjen og så forsvinder den, indtil jeg åbener et nyt vindue, så er den der igen - desuden laver den nogle foretrukne biblioteker under mine "Foretrukne" og selvom jeg sletter dem, så opretter den bare nogen nye igen, jeg har prøvet ad-aware og andre programmer, men den finder ikke problemet, hvad kan jeg gøre udover at formatere????
Avatar billede fromsej Praktikant
09. august 2003 - 14:40 #1
Hvilke andre programmer?
Hent Hijackthis her:
http://www.spywarefri.dk/vaerktoj.htm#18
Scan, save log, kopier logfilen herind, så kigger vi på den.*S*
Avatar billede vlklng Nybegynder
09. august 2003 - 14:41 #2
....hvis jeg går ind på hjemmesider eller søger på google, så opretter den hyperlinks på udvalgte ord, som f.eks "Privacy" "Internet" "Security".

de linker til : http://www.dbnet.dk/pdf/SEAS%20Pressemeddelelse%202003-05-281.pdf og når jeg sætter musen over hyperlinket, står der noget med "I-Lookup Link"
Avatar billede fromsej Praktikant
09. august 2003 - 14:43 #3
Du er blevet Hijacked, lav den logfil, så klarer vi det derfra.
Avatar billede vlklng Nybegynder
09. august 2003 - 14:45 #4
Roger..
Avatar billede vlklng Nybegynder
09. august 2003 - 14:51 #5
Here it is:

Logfile of HijackThis v1.96.0
Scan saved at 14:46:29, on 09-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\realmon.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\InoRT.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\InoTask.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\ICQ\Icq.exe
C:\Programmer\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cosa\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.imdb.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_0_0.dll
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 216.40.211.228 auto.search.msn.com
O2 - BHO: (no name) - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: (no name) - {00000580-C637-11D5-831C-00105AD6ACF0} - C:\WINDOWS\MSView.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2038A287-4221-4F76-A7C0-ADDD77AFABB3} - C:\WINDOWS\System32\abeb.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programmer\VeriSign\i-Nav\i-nav_4_0_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: I-Lookup.com Bar - {0C9CBFE1-91CD-40C2-BB64-1EC84C4C46AF} - C:\WINDOWS\System32\abeb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [smsys] C:\Documents and Settings\Cosa\Skabeloner\msmovieplug.exe
O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\Blaargh.exe
O4 - HKLM\..\Run: [SZMsgSvc.exe] C:\Programmer\STOPzilla!\SZMsgSvc.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\realmon.exe"
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: i-Nav Hjælp (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Hjælp (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Indstillinger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A46C5F9-FA0C-4EEF-9CA8-2D1ED5A1F44C}: NameServer = 212.242.40.3,212.242.40.51
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A46C5F9-FA0C-4EEF-9CA8-2D1ED5A1F44C}: NameServer = 212.242.40.3,212.242.40.51
Avatar billede fromsej Praktikant
09. august 2003 - 15:03 #6
Der er en del der ikke skal være der, det kan godt tage op til en time inden du får svar, da der er meget at tjekke.*S*
Avatar billede vlklng Nybegynder
09. august 2003 - 15:09 #7
Gider du hjælpe?

I-Nav - E-Trust - Verisign er mit antivirus progam og jeg kan se der er en orm, som jeg troede jeg havde fået fjernet "Supernova/Blaargh" og en anden fil "msmovieplug", men de har åbenbart bare gemt sig godt.
Avatar billede fromsej Praktikant
09. august 2003 - 15:32 #8
Vi er igang, indenfor et kvarter til en halv time, så kommer vi med et resultat.
Avatar billede perhaps Nybegynder
09. august 2003 - 16:02 #9
Nu kommer fromsej med resultatet
Avatar billede fromsej Praktikant
09. august 2003 - 16:05 #10
Det første du gør er at slå systemgendannelse fra.
http://www.spywarefri.dk/virus.htm#alle
Så kører du Hijackthis igen, scanner og sætter flueben ud for alle de linier jeg har givet dig nedenunder.
Klik på Fix Checked, og genstart så i fejlsikret tilstand.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.imdb.com/ ---> Er det din startside?
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 216.40.211.228 auto.search.msn.com
O2 - BHO: (no name) - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: (no name) - {00000580-C637-11D5-831C-00105AD6ACF0} - C:\WINDOWS\MSView.DLL
O2 - BHO: (no name) - {2038A287-4221-4F76-A7C0-ADDD77AFABB3} - C:\WINDOWS\System32\abeb.dll
O3 - Toolbar: I-Lookup.com Bar - {0C9CBFE1-91CD-40C2-BB64-1EC84C4C46AF} - C:\WINDOWS\System32\abeb.dll
O4 - HKLM\..\Run: [smsys] C:\Documents and Settings\Cosa\Skabeloner\msmovieplug.exe
O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\Blaargh.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A46C5F9-FA0C-4EEF-9CA8-2D1ED5A1F44C}: NameServer =

212.242.40.3,212.242.40.51  ---> Medmindre det er interne DNS adresser i et hjemmenetværk.
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A46C5F9-FA0C-4EEF-9CA8-2D1ED5A1F44C}: NameServer =

212.242.40.3,212.242.40.51 ---> Medmindre det er interne DNS adresser i et hjemmenetværk.

Denne her skal slettes fra fejlsikret tilstand, derefter tjekker du linket nedenunder, så du får det sidste væk i din registreringsdatabase.
C:\WINDOWS\System32\wuauclt.exe

wuauclt.exe - http://www.sophos.com/virusinfo/analyses/trojcultb.html
Avatar billede vlklng Nybegynder
09. august 2003 - 16:34 #11
Tak for hjælpen, jeg prøver.
Avatar billede vlklng Nybegynder
09. august 2003 - 16:35 #12
Hvordan er det lige man starter i "Fejlsikret"?
Avatar billede fromsej Praktikant
09. august 2003 - 16:38 #13
Trykker <F8> når den genstarter, så får du en menu.
Avatar billede vlklng Nybegynder
09. august 2003 - 16:58 #14
Den er slettet manuelt i fejlsikret tilstand, men i regedit er der ikke nogen der hedder "WUAUCLT.EXE" - kun de her var i databasen:

IW controlcenter
kernelfaultcheck
nerocheck
nvcpldaemon
nwiz
quicktime task
realtime monitor
szmsgsvc.exe
Avatar billede vlklng Nybegynder
09. august 2003 - 17:02 #15
Den er ihvertfald "REN", når jeg starter explorer op og det er sgu en god ting, mange tak for hjælpen - nu må jeg lige få installeret det andet hijack program, så det ikke sker igen! :)
Avatar billede perhaps Nybegynder
09. august 2003 - 17:20 #16
Du har brug for SpywareBlaster, SpywareGuard og IE-Spyad. Find dem alle under Værktøjer på Spywarefri.dk Der er også dansk installations og brugerguide lavet af aovergaard.

perhaps/Team Spywarefri
Avatar billede perhaps Nybegynder
09. august 2003 - 17:28 #17
Der er ingen af de ting du har listet og som er i reg.databasen som er "farlig". De er alle legitime. Mest ukendt er vel nok IW controlcenter, men den hører til Tosiba/instant write.

perhaps/Team Spywarefri
Avatar billede fromsej Praktikant
09. august 2003 - 19:56 #18
Velbekomme dig, og mange tak for point.*S*
Installer de småprogrammer fra Perhaps´ indlæg, så bliver din færden på nettet meget mere sikker.

Fromsej/Team Spywarefri.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andre onlineløsninger kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kunstig Enteligents For Synshandicappede Af tobberjas i Andre onlineløsninger 4 25/05/202411:37 26/05/202423:04
Hvor gemmer e-conomic momspercentage? Af Computernørderne i Andre onlineløsninger 2 20/04/202419:04 22/04/202411:06
Mailchimp: placere Image block i midten af teksten Af visto i Andre onlineløsninger 4 10/04/202421:45 14/04/202419:04
Google Calendar til tidsbestilling Af Psykolog Julie Lillegaard i Andre onlineløsninger 4 09/04/202421:47 19/04/202414:18
Tjenesten Google Maps ikke tilladt Af miss-g i Andre onlineløsninger 2 20/03/202414:48 23/03/202400:40
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:43 Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
Rigsrevisionen undersøger it-sikkerheden i Banedanmarks signalsystem
Læs mere »
Nye prisstigninger kan være på vej til VMware-kunder: Priser står til flerdobling
Oplæring i ny it skaber frustrationer: Mange ansatte føler, at de spilder tiden
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »