CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede Slettet bruger
23. juni 2013 - 14:17 Der er 13 kommentarer og
1 løsning

Browser hijacket

Jeg havde spørgsmålet i en anden kategori hvor jeg fik fjernet en irriterende søgebox men ikke at min browser viser en masse link på nøgleord - det hedder vel nok at min browser er blevet hijacket.

Jeg har kørt:

hijackthis
advcleaner
hitmanpro
tdsskiller (kræver en betaling for fjernelse.)

Jeg vedlægger log for hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:17:04, on 23-06-2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG2013\avgrsx.exe
C:\Programmer\AVG\AVG2013\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\AVG\AVG2013\avgui.exe
C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Programmer\AVG\AVG2013\avgidsagent.exe
C:\Programmer\AVG\AVG2013\avgwdsvc.exe
C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
C:\Programmer\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Programmer\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\AVG\AVG2013\avgnsx.exe
C:\Programmer\AVG\AVG2013\avgemcx.exe
C:\Programmer\Java\jre7\bin\jqs.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\AVG\AVG2013\avgcsrvx.exe
C:\norton commander\NC.EXE
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Mozilla Firefox\plugin-container.exe
c:\unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mandala.dk/m/user_home.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FLLESF~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AVG_UI] "C:\Programmer\AVG\AVG2013\avgui.exe" /TRAYONLY
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter4.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Fælles filer\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programmer\Fælles filer\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6-windows-i586.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmer\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmer\AVG\AVG2013\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmer\AVG\AVG2013\avgwdsvc.exe
O23 - Service: Google Update Tjeneste (gupdate) (gupdate) - Google Inc. - C:\Programmer\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Tjeneste (gupdatem) (gupdatem) - Google Inc. - C:\Programmer\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmer\Java\jre7\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programmer\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmer\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmer\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE

--
End of file - 7501 bytes
Avatar billede Slettet bruger
23. juni 2013 - 16:08 #1
tdsskiller (kræver en betaling for fjernelse.) TDSSKiller er gratis, Spyhunter 4 koster penge hvis det, det har fundet.
http://support.kaspersky.com/5350?el=88446

Din log fra HijackThis - du har norton commander ( hvad bruger du den til ) + AVG + Malwarebytes.
Spyhunter 4 kører i realtime det samme gør AVG det kan give problemer. Malwarebytes er vel i den gratis version !

Hvilke browser bruger du ! Kan du eventuelt sende et screenshot ind, så vi kan se, hvad du helt præsis mener.

Hvilke styresystem har du ! Har du kørt Adwcleaner som administrator. Kunne du sende en log ind fra dette program.
Avatar billede Slettet bruger
23. juni 2013 - 16:13 #2
Glem det med styresystem det kan jeg jo se ;-) Du behøver ikke at køre som administrator når det er XP.
Avatar billede Slettet bruger
23. juni 2013 - 21:53 #3
pixxei

Jeg kan godt lide Norton Commander når jeg skal dybt ned i nogle mapper og så er jo nemmere at bruge end win med 2 vinduer.

Det kan godt være jeg har forvekslet de 2 tdsskiller og spywarehunter som faktisk har fundet en masse skidt.

Det som helt foregår på skærmen er at link som ikke burde være link bliver til link som eksemplet vist her er "HVAD" og længere nede er det "på Nettet" som er understreget og viser en reklame for noget dating eller andet ral og krat.

http://amallie.dk/img0.jpg

http://amallie.dk/img1.jpg
Avatar billede Computer Hjælp (Gratis) Mester
24. juni 2013 - 07:38 #4
www.eksperten.dk/guide/1528 ?
Avatar billede Slettet bruger
24. juni 2013 - 10:23 #5
Prøv #4 forslag.
Avatar billede Slettet bruger
24. juni 2013 - 18:02 #6
karise

Det ser ud til at virke i IE, men nu elsker jeg jo Firefox og jeg har stadig det forbande lort i den. Hvis jeg i firefox kigger på tilføjelses programmer så ser det ud til at de følger IE's med hensyn til søgebokse, acceralation osv som beksrevet i dit link.
Avatar billede Computer Hjælp (Gratis) Mester
25. juni 2013 - 07:18 #7
... virker det så (bedre) nu ?
Avatar billede Slettet bruger
25. juni 2013 - 07:50 #8
spywarehunter som faktisk har fundet en masse skidt.

Uanset hvilke computer man installer Spyhunter på, vil programmet finde en masse "skidt" som det så kræver penge for at fjerne, det er det der er hele konceptet.
Avatar billede Slettet bruger
25. juni 2013 - 07:58 #9
karise

ja...men det link har kun afhjulpet IE og ikke Firefox og Crome hvor jeg stadig har de reklame link og i nogle tilfælde hvor et link redirec til en side som tæller ned så man kommer ind på det link som det er bestemt efter 5 sekunder.
Avatar billede Computer Hjælp (Gratis) Mester
25. juni 2013 - 08:55 #10
... der må være lign. 'setting' i FF + Crome ?
Avatar billede Slettet bruger
25. juni 2013 - 10:00 #11
Prøv at holde SHIFT nede når starter firefox op, og vælg Start i fejlsikkert tilstand elller Nulstil firefox

I Chrome skriv chrome://plugins/ se om der er noget der ikke skal være der.
Avatar billede Slettet bruger
25. juni 2013 - 14:34 #12
Rettelse :

spywarehunter som faktisk har fundet en masse skidt.

Uanset hvilke computer man installer Spyhunter på, vil programmet finde en masse "skidt" som det påstår er på computeren, og så kræver penge for at fjerne, det er det der er hele konceptet.
Avatar billede Slettet bruger
25. juni 2013 - 17:28 #13
Fik kigget på tilføjelser i Firefox og fundet en tilføjelse som jeg ikke mener har installeret men som har sneget sig ind.

Den hedder SelectionLink og gør netop det at den overtager min browser og laver link i tekst..

Den er nu fjernet og alt ser ud til at virke som det skal.

smid et svar pixxel - og tak for hjælpen

Sjovt nok kunne jeg ikke starte i fejlsikker tilstand i Firefox med SHIFT men kunne så gøre det i "hjælp" start med tilføjelser deaktiveret - og så begynde jeg at finde den tilføjelse som gav problemet med at deaktivere alle en efter en og starte Firefox op hver gang.,
Avatar billede Slettet bruger
26. juni 2013 - 10:06 #14
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 10:45 Microsoft Outlook Af made18 i Andet software
I dag 09:53 Lave et ark med forskellige tekst og billede bokse Af lurup i Word
I går 19:34 Synology NAS Af desist i Andet hardware
I går 12:49 Finder i Mac skal bruge adgangskode ved flytning/kopiering af filer Af CHC i Andet software
I går 10:26 Adgang til BT Af Carl i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Er chef for it-afdeling med 250 medarbejdere: Nu rykkes han helt op i direktionen i Jysk med 31.000 ansatte - får ny titel
Læs mere »
Med software kommer opdatering af dansk simulator til at koste 125 millioner kroner
Advarsel: Donald Trumps fiksfakserier kan gøre amerikanske cloud-tjenester knaldende ulovlige i Europa
Netcompany skal modernisere det græske skattesystem: Lander kæmpe-ordre på mere end 500 millioner kroner
Se alle »
Computerworld
Teaser billede
Gratis og helt lovligt: Her kan du læse magasiner og aviser fra hele verden
Læs mere »
Anmeldes til datatilsyn: Disse kinesiske selskaber overfører data til Kina, når du anvender deres løsninger
Test: Hurra - den billigste Mac er nu faktisk også den bedste
Disse vilde sci-fi-visioner er overraskende tæt på at blive til virkelighed: Kan være på vej
Se alle »
CIO
Teaser billede
Region Midtjylland dropper LibreOffice: Flytter 36.000 medarbejdere over på Microsoft 365
Læs mere »
Traf afgørende beslutning i 00'erne: Nu høster Salling Group frugterne af sin ERP-strategi
I dag træder ny stor sikkerhedslov fra EU i kraft: Dora-forordningen er nu gældende lov
Her er de største overraskelser i den danske implementering af NIS2: Det skal du være opmærksom på
Se alle »
Job & Karriere
Teaser billede
Merete Søby klar med nyt top-job efter pludselig exit fra Schultz: Her er hendes nye job
Læs mere »
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Dansk headhunter: Dette spørgsmål bliver jeg næsten altid stillet, når jeg forsøger at rekruttere it-folk
Se alle »
White paper
Teaser billede
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Læs mere »
Sæt professionel døgnvagt på din it-infrastruktur
Sådan: Én løsning til compliance, sikkerhed og overblik
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »