CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:14 Der er 27 kommentarer og
1 løsning

TJek lige den her hijack-this log

Hejsa, sidder lige og roder med at få den originale startside tilbage i IE, fik anbefalet hijack this, og har siddet og luret lidt på det, men kan ikke rigtig få det til at virke.

Den startside der kommer frem er: http://213.159.117.134/index.php

Men når jeg fjerner dem fra reg. kommer den bare igen næste gang jeg åbner.. Så jeg må åbenbart mangle at fjerne noget... Nogen der kan hjælpe??? Hurtigste svar løber af med 100 point


Logfile of HijackThis v1.97.7
Scan saved at 21:55:37, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wintime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:15 #1
har lidt på fornammelsen at det er denne her...
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:16 #2
næ, det var det vist ikk...
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:16 #3
Hej igen...
... hva' er "[WinTime] C:\WINDOWS\system32\wintime.exe" for noget ???
Den 'lugter' ...
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:16 #4
Nej den er god nok. Den må du ikke slette
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:17 #5
Altså 03 eren
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:17 #6
Gi mig to minutter så har jeg tydet den
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:17 #7
den der wintime har jeg set før... Men det kan godt være.. Skla jeg prøve at slette den??
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:18 #8
Du er nu i gode hænder hos <andersenph>
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:18 #9
fant lige det her link
http://www.liutilities.com/products/wintaskspro/dlllibrary/msdxm/
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:18 #10
Det lyder sku godt... Har brugt hele dagen på det hø
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:18 #11
Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Klik på Fix checkede.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:
C:\WINDOWS\system32\wintime.exe

Derefter genstarter du og sender en ny log ind til check
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:19 #12
Hvis denne [wintime] findes i [Instaler/fjerne] program så fjern den derfra i først omgang...
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:20 #13
<andersenph> kom lige først *LOL*
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:20 #14
ok
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:23 #15
Der ikke noget faneblad i Denne com ---> egenskaber..  Kører XP Home Edition
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:25 #16
har funder den...
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:41 #17
Logfile of HijackThis v1.97.7
Scan saved at 22:43:36, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\Ny mappe\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:43 #18
Det er en ny hijacker, der skal gribes an på en lidt anden måde en vi plejer.

Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.
Fix disse med HijackThis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php


Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart, ny log

Kigger ind i morgen

Gotta get some sleep ;O)
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:44 #19
Den er der stadig, og jeg har gjort alt det der stod...
Avatar billede victor-1 Nybegynder
28. juni 2004 - 22:53 #20
Smid en ny log herind nu, så den er klar til "andersenph" i morgen. Det vil fremskynde oprydningen, da han ikke først skal til at be' dig gøre det *S*
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:00 #21
Hey hey ..... Nu viker det sku
Gi lige et svar, så er pointne hjemme. og tak for hjælpen

Logfile of HijackThis v1.97.7
Scan saved at 23:01:29, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\Ny mappe\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:01 #22
Skal jeg stadig have det flueben i deaktiversystemgendannelse??
og kan jeg smide alle backup filerne ud??
Avatar billede victor-1 Nybegynder
28. juni 2004 - 23:04 #23
Gør dig selv en STOR tjeneste - VENT på "andersenph".
Det er normal kotyme, at den som er i gang med loggen, også gør arbejdet færdigt.
Så vær rar at vente til han kigger ind igen - ok ?
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:05 #24
ja ja selvfølgelig, det er jo hans arbejde... Kigger bare ind i morgen når jeg vågner, han bliver ikke snydt... :-)
Avatar billede majsmarken Nybegynder
29. juni 2004 - 06:31 #25
... så ka' du jo tænke over hvor denne [wintime] stammer fra; det var formegentlig den der startede 'balladen' ...
Avatar billede andersenph Nybegynder
29. juni 2004 - 08:40 #26
Cwshredder er et gudeprogram til at fjerne startside hijackere.
Og du må undskylde at jeg stoppede midt i det hele i går, men jeg havde altså poser under øjnene. Hvis du havde set mig, havde du nok forståelse for at jeg tog mig en lur :O)
Så er din log ren og du kan godt slå din systemgendannelse til igen.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Her er lidt læsning om sikker surfing på nettet.
Avatar billede geekseek Nybegynder
29. juni 2004 - 11:37 #27
Jeg takker for hjælpen og links... Det er altid lækkert at lære noget nyt  :-)
Avatar billede andersenph Nybegynder
29. juni 2004 - 11:52 #28
Ja så takker jeg da for point :O)

Der er gået lidt ged i den der artikel 254. Den bedes du se bort fra.
Der har været lidt knas her på Eksperten for nyligt. Det behøver ikke gå ud over alle, så den skipper du bare...
Men Spywareblaster, Spywareguard og Ieprivacy eer nogel gode små programmer der ikke tager ret meget kraft fra din maskine, men til gengæld holder de snavset væk.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:43 Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
Rigsrevisionen undersøger it-sikkerheden i Banedanmarks signalsystem
Læs mere »
Nye prisstigninger kan være på vej til VMware-kunder: Priser står til flerdobling
Oplæring i ny it skaber frustrationer: Mange ansatte føler, at de spilder tiden
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sådan får du overblik og beskytter dine cloudapplikationer
Læs mere »
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Sådan høster du forretningsfordelene ved Internet of Things
SASE: Træf det rette valg – første gang
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »