CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

superbarbie Nybegynder

25. august 2003 - 16:32 Der er 13 kommentarer og
1 løsning

This barbie has been hijacked

Hej hjælpsomme og kloge folk!
Jeg har det problem, at jeg bliver begavet med små pornoagtige popups i "almindelige" popup-kasser hver gang jeg logger ind på et bestemt site...og det er kun på dette site.

Nu har jeg taget en log via hijackthis, som jeg håber en eller flere lige vil prøve at gennemskue? jeg kan ihvertfald ikke (har ikke valgt mit brugernavn for ingenting, vel)

En (måske) nyttig oplysning kan være, at jeg igår fjernede en TrojanAdclicker, som hed Explore.exe...det ser ud som om der stadig er noget der? (har fjernet den i safe mode)..og kan den have noget med det at gøre?

--- Logfile of HijackThis v1.96.2
Scan saved at 16:07:54, on 25-08-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\ImageMate CompactFlash USB\SandIcon.Exe
C:\PROGRA~2\EYEBALL\EYEBAL~1\EyeballChat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\Msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Louise\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mommykiss.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [aiepk] C:\Documents and Settings\Louise\Desktop\aiepk2.exe
O4 - HKCU\..\Run: [Eyeball Chat] "C:\PROGRA~2\EYEBALL\EYEBAL~1\EyeballChat.exe" -min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [explore] c:\windows\explore.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP Pro\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jeg har både Norton og AdAware og scannet uden resultat med begge.

På forhånd mange tak!
Barbie

Synes godt om

wickedd Juniormester

25. august 2003 - 16:36 #1

Så prøv med www.pandasoftware.com/activescan og se om den ikke finder noget

Synes godt om

fromsej Praktikant

25. august 2003 - 16:38 #2

Der ligger lidt skidt endnu, jeg går i gang med det samme, indenfor en time har du resultatet.

Synes godt om

the_collector Novice

25. august 2003 - 16:40 #3

Nogle sites begraver folk i den slags popup-kasser. Hvilken site er det at du oplever det for?

Synes godt om

superbarbie Nybegynder

25. august 2003 - 16:41 #4

Tak, fromsej..

Skulle måske lige nævne, at jeg sletter de links med "mommykiss" (den har jeg atlså ikke selv hentet!! *G*) og "approvedlinks"...det springer lidt for meget i øjnene, nu når jeg ser det her.

Det er vel ikke helt godnat at gøre.
B

Synes godt om

superbarbie Nybegynder

25. august 2003 - 16:49 #5

Collector, det her site har stensikkert ikke noget med de popups at gøre..men god tanke ellers :)

Jeg ved til gengæld, at de har noget spyware liggende...men jeg ved ikke om det har noget med mit problem at gøre.

Synes godt om

fromsej Praktikant

25. august 2003 - 16:59 #6

Førest deaktiverer du Sysremgendannelse: http://www.spywarefri.dk/virus.htm#alle
Så kører du Hijackthis igen, scan, sæt flueben ved de linier jeg har listet nedenunder, lukker alle vinduer undtaget Hijackthis og klikker på Fix checked.
De linier under den stiplede, kender du noget til dem, ellers tag dem med.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mommykiss.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\winshow.dll
-----------------------------------------------------------------------------
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\system32\searchbar.html

Synes godt om

the_collector Novice

25. august 2003 - 16:59 #7

Nu skrev du ikke hvilket site du loggede ind på. Men et site som dette vil en målrettet reklame i ovennævnte stil eller sikkert ramme plet ;)

Synes godt om

fromsej Praktikant

25. august 2003 - 17:00 #8

Når du har fixet, så genstart og kom med en ny logfil.

Synes godt om

superbarbie Nybegynder

25. august 2003 - 17:17 #9

Skal jeg genstarte i safe mode??

Synes godt om

superbarbie Nybegynder

25. august 2003 - 17:20 #10

Jeg er helt med på system restore-tingen..

jeg spørger om det med safe mode fordi jeg i så fald (måske) ikke kan komme ind på dette site?

Synes godt om

superbarbie Nybegynder

25. august 2003 - 17:44 #11

Ny log:
Logfile of HijackThis v1.96.2
Scan saved at 17:32:22, on 25-08-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\ImageMate CompactFlash USB\SandIcon.Exe
C:\PROGRA~2\EYEBALL\EYEBAL~1\EyeballChat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Louise\Local Settings\Temp\Temporary Directory 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [aiepk] C:\Documents and Settings\Louise\Desktop\aiepk2.exe
O4 - HKCU\..\Run: [Eyeball Chat] "C:\PROGRA~2\EYEBALL\EYEBAL~1\EyeballChat.exe" -min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [explore] c:\windows\explore.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP Pro\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Denne her generer mig fordi den ligner noget fra den trojan, jeg fjernede.
"O4 - HKCU\..\Run: [explore] c:\windows\explore.exe"

Er jeg paranoid?

Anyway, jeg har lige prøvet at logge ind på problem-sitet, og der var ingen ubehagelige popups (men det kan være et tilfælde?...nogle gange starter det fx præcis kl 02 osv).

Jeg håber virkelig det her hjælper og siger mange tak for professional assistance...du er fromne sej! *G*

B

Synes godt om

fromsej Praktikant

25. august 2003 - 17:50 #12

Velbekomme.*S*
Så skal du lige installere et par småprogrammer for at sikre din PC
http://www.spywarefri.dk/vaerktoj.htm
Spywareblaster, Spywareguard og IE-Spyad holder skidtet væk, så dem vil jeg kraftigt anbefale dig, der er dansk brugsvejledning til dem på siden.
derudover Empty Temp Folders, det er også et godt program.
Jeg tjekker lige op på den sidste, men den burde være god nok.
Tak for points.
Mvh:
Fromsej/Team Spywarefri.

Synes godt om

fromsej Praktikant

25. august 2003 - 17:54 #13

Nej, du er ikke paranoid, jeg har sovet i timen, den skal væk.

Synes godt om

superbarbie Nybegynder

25. august 2003 - 18:15 #14

Cool, jeg er ved at kigge på det!

Endnu en gang tak - you truly saved my day :):):):):):):):)

SuppeBarbie

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus	21	22/06/202419:22	23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus	23	07/05/202421:02	13/05/202419:48
trusler Af gerhardpet i Virus	4	26/01/202410:02	27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus	16	09/01/202416:37	10/01/202419:59
virusscanning Af JetteD i Virus	2	10/11/202312:55	10/11/202316:36

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS