Avatar billede geekseek Nybegynder
28. juni 2004 - 22:14 Der er 27 kommentarer og
1 løsning

TJek lige den her hijack-this log

Hejsa, sidder lige og roder med at få den originale startside tilbage i IE, fik anbefalet hijack this, og har siddet og luret lidt på det, men kan ikke rigtig få det til at virke.

Den startside der kommer frem er: http://213.159.117.134/index.php

Men når jeg fjerner dem fra reg. kommer den bare igen næste gang jeg åbner.. Så jeg må åbenbart mangle at fjerne noget... Nogen der kan hjælpe??? Hurtigste svar løber af med 100 point


Logfile of HijackThis v1.97.7
Scan saved at 21:55:37, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wintime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:15 #1
har lidt på fornammelsen at det er denne her...
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:16 #2
næ, det var det vist ikk...
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:16 #3
Hej igen...
... hva' er "[WinTime] C:\WINDOWS\system32\wintime.exe" for noget ???
Den 'lugter' ...
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:16 #4
Nej den er god nok. Den må du ikke slette
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:17 #5
Altså 03 eren
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:17 #6
Gi mig to minutter så har jeg tydet den
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:17 #7
den der wintime har jeg set før... Men det kan godt være.. Skla jeg prøve at slette den??
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:18 #8
Du er nu i gode hænder hos <andersenph>
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:18 #9
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:18 #10
Det lyder sku godt... Har brugt hele dagen på det hø
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:18 #11
Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Klik på Fix checkede.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:
C:\WINDOWS\system32\wintime.exe

Derefter genstarter du og sender en ny log ind til check
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:19 #12
Hvis denne [wintime] findes i [Instaler/fjerne] program så fjern den derfra i først omgang...
Avatar billede majsmarken Nybegynder
28. juni 2004 - 22:20 #13
<andersenph> kom lige først *LOL*
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:20 #14
ok
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:23 #15
Der ikke noget faneblad i Denne com ---> egenskaber..  Kører XP Home Edition
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:25 #16
har funder den...
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:41 #17
Logfile of HijackThis v1.97.7
Scan saved at 22:43:36, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\Ny mappe\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
Avatar billede andersenph Nybegynder
28. juni 2004 - 22:43 #18
Det er en ny hijacker, der skal gribes an på en lidt anden måde en vi plejer.

Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.
Fix disse med HijackThis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php


Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart, ny log

Kigger ind i morgen

Gotta get some sleep ;O)
Avatar billede geekseek Nybegynder
28. juni 2004 - 22:44 #19
Den er der stadig, og jeg har gjort alt det der stod...
Avatar billede victor-1 Nybegynder
28. juni 2004 - 22:53 #20
Smid en ny log herind nu, så den er klar til "andersenph" i morgen. Det vil fremskynde oprydningen, da han ikke først skal til at be' dig gøre det *S*
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:00 #21
Hey hey ..... Nu viker det sku
Gi lige et svar, så er pointne hjemme. og tak for hjælpen

Logfile of HijackThis v1.97.7
Scan saved at 23:01:29, on 28-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anja.FINN-IBBKYTKW6T\Skrivebord\Ny mappe\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{057ED74D-41EA-4301-BCC8-13F2474A4227}: NameServer = 193.162.153.164 194.239.134.83
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:01 #22
Skal jeg stadig have det flueben i deaktiversystemgendannelse??
og kan jeg smide alle backup filerne ud??
Avatar billede victor-1 Nybegynder
28. juni 2004 - 23:04 #23
Gør dig selv en STOR tjeneste - VENT på "andersenph".
Det er normal kotyme, at den som er i gang med loggen, også gør arbejdet færdigt.
Så vær rar at vente til han kigger ind igen - ok ?
Avatar billede geekseek Nybegynder
28. juni 2004 - 23:05 #24
ja ja selvfølgelig, det er jo hans arbejde... Kigger bare ind i morgen når jeg vågner, han bliver ikke snydt... :-)
Avatar billede majsmarken Nybegynder
29. juni 2004 - 06:31 #25
... så ka' du jo tænke over hvor denne [wintime] stammer fra; det var formegentlig den der startede 'balladen' ...
Avatar billede andersenph Nybegynder
29. juni 2004 - 08:40 #26
Cwshredder er et gudeprogram til at fjerne startside hijackere.
Og du må undskylde at jeg stoppede midt i det hele i går, men jeg havde altså poser under øjnene. Hvis du havde set mig, havde du nok forståelse for at jeg tog mig en lur :O)
Så er din log ren og du kan godt slå din systemgendannelse til igen.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Her er lidt læsning om sikker surfing på nettet.
Avatar billede geekseek Nybegynder
29. juni 2004 - 11:37 #27
Jeg takker for hjælpen og links... Det er altid lækkert at lære noget nyt  :-)
Avatar billede andersenph Nybegynder
29. juni 2004 - 11:52 #28
Ja så takker jeg da for point :O)

Der er gået lidt ged i den der artikel 254. Den bedes du se bort fra.
Der har været lidt knas her på Eksperten for nyligt. Det behøver ikke gå ud over alle, så den skipper du bare...
Men Spywareblaster, Spywareguard og Ieprivacy eer nogel gode små programmer der ikke tager ret meget kraft fra din maskine, men til gengæld holder de snavset væk.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester