Søg
Avatar billede gnoeffe Nybegynder
17. oktober 2003 - 14:45 Der er 7 kommentarer og
1 løsning

Hjælp til tjek af logfil fra HijackThis!

Hej
Vi har problemer med, at vores browser automatisk springer over på www.cool-homepage.com og supret.com fra debitel.dk (vores normale startside). Grundet deres pornografiske indhold, har vi installeret Spywareblaster og Spywareguard. De forhindrer nu, at dette sker. Men vi vil gerne have fjernet al snavset, der ligger på vores PC somewhere. Vi har lige downloaded HijackThis, og har fået følgende logfil. Kan i hjælpe os med at sortere skidt og kanel?

Med venlig hilsen
Gnoeffe

Logfile of HijackThis v1.97.3
Scan saved at 14:30:57, on 17-10-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmer\Trend Micro\PC-cillin 2000\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2000\pccntupd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Trend Micro\PC-cillin 2000\Pop3trap.exe
C:\Programmer\Trend Micro\PC-cillin 2000\WebTrapNT.exe
C:\WINNT\system32\msrexe.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Trend Micro\PC-cillin 2000\PNTIOMON.exe
D:\program files\SpywareGuard\sgmain.exe
D:\program files\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
D:\program files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.martfinder.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.debitel.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.supret.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.white-pages.ws/results.php?show=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cool-homepage.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/www.searchv.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.debitel.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af Debitel
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.pantyplace.com/sadoslaves/free/free_porn.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.pantyplace.com/sadoslaves/free/free_porn.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://cool-homepage.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOCUME~1\MARTIN~1\LOKALE~1\Temp\msfgfj.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\program files\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2000\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Programmer\Trend Micro\PC-cillin 2000\WebTrapNT.exe"
O4 - HKLM\..\Run: [System Service] C:\WINNT\system32\msrexe.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: SpywareGuard.lnk = D:\program files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Real-time Monitor.lnk = C:\Programmer\Trend Micro\PC-cillin 2000\PNTIOMON.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Enjoy It (HKLM)
O9 - Extra 'Tools' menuitem: Enjoy It (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://auto.search.msn.com:3128@%61%72%68%65%6F%2E%63%6F%6D/%63%67%69%2D%62%69%6E/c.pl?url=
O14 - IERESET.INF: START_PAGE_URL=http://www.debitel.dk
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/215b86c8c6aaafc68820/netzip/RdxIE601.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D64CC6ED-4C90-4563-AB14-D5DFC15B55E8}: NameServer = 212.242.40.3 212.242.40.51
Avatar billede fromsej Praktikant
17. oktober 2003 - 14:49 #1
Ja.*S*
Avatar billede fromsej Praktikant
17. oktober 2003 - 15:15 #2
Slå systemgendannelse fra: http://www.spywarefri.dk/virus.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart, ny logfil herind.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.martfinder.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.supret.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.white-pages.ws/results.php?show=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cool-homepage.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/www.searchv.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.pantyplace.com/sadoslaves/free/free_porn.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.pantyplace.com/sadoslaves/free/free_porn.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://cool-homepage.com/
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOCUME~1\MARTIN~1\LOKALE~1\Temp\msfgfj.dll
O4 - HKLM\..\Run: [System Service] C:\WINNT\system32\msrexe.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe => Se kommentar i "Slettes"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Enjoy It (HKLM)
O9 - Extra 'Tools' menuitem: Enjoy It (HKLM)
O13 - DefaultPrefix: http://auto.search.msn.com:3128@%61%72%68%65%6F%2E%63%6F%6D/%63%67%69%2D%62%69%6E/c.pl?url=
O14 - IERESET.INF: START_PAGE_URL=http://www.debitel.dk
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/215b86c8c6aaafc68820/netzip/RdxIE601.cab

---------------------------------------
Slettes i fejlsikker.

C:\WINNT\system32\msrexe.exe
C:\WINNT\system32\internat.exe =>Hvis den er god nok ryger DA ikonet i tray, men jeg ville ikke tage chancen.
Brug Start=>Søg til at se om msfgfj.dll eksisterer hvis ja, slet den:

Genstart normalt og kom med en ny logfil, så vi kan se om alt er med.
Avatar billede fromsej Praktikant
17. oktober 2003 - 15:19 #3
Se bort fra det med systemgendannelse, det er kun i ME og XP.
Sorry.*S*
Avatar billede arlet Juniormester
17. oktober 2003 - 16:21 #4
Kigger lige med.
Avatar billede gnoeffe Nybegynder
17. oktober 2003 - 17:00 #5
Hej Fromsej,
Tak for tippet. Har nu slettet de angivne filer i Hijackthis, genstartet og lavet en ny logfil, som er kopieret ind her. Hvad siger du til det?
;) Gnøffe

Logfile of HijackThis v1.97.3
Scan saved at 16:57:06, on 17-10-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmer\Trend Micro\PC-cillin 2000\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2000\pccntupd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Trend Micro\PC-cillin 2000\Pop3trap.exe
C:\Programmer\Trend Micro\PC-cillin 2000\WebTrapNT.exe
C:\Programmer\Trend Micro\PC-cillin 2000\PNTIOMON.exe
D:\program files\SpywareGuard\sgmain.exe
D:\program files\HijackThis.exe
D:\program files\SpywareGuard\sgbhp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.debitel.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.debitel.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af Debitel
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\program files\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2000\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Programmer\Trend Micro\PC-cillin 2000\WebTrapNT.exe"
O4 - Startup: SpywareGuard.lnk = D:\program files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Real-time Monitor.lnk = C:\Programmer\Trend Micro\PC-cillin 2000\PNTIOMON.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab
Avatar billede fromsej Praktikant
17. oktober 2003 - 17:22 #6
Det pyntede meget.*S*
Din log er nu ren, du har allerede gjort meget ved at installere spywareblaster og Spywareguard, husk at opdatere dem med jævne mellemrum.
derudover vil leg anbefale dig at hente IE-Spyad og Empty Temp folders, de kan findes her sammen med dansk vejledning, læs især om IE-Spyad, så du får det fulde udbytte af dette geniale program.
http://www.spywarefri.dk/vaerktoj.htm

Mvh:
Fromsej/Team Spywarefri.
Avatar billede gnoeffe Nybegynder
17. oktober 2003 - 17:28 #7
Mange tak for den hurtige og effektive hjælp! Super med sådan et web forum :) Gnøffe
Avatar billede fromsej Praktikant
17. oktober 2003 - 17:29 #8
Velbekomme, og tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 18:29 Gendanne slettet partition overskrevet med Windows 11 Af Strawberry i Windows
I går 16:11 Samle data fra flere kolonner i 1 Af FinnLauridsen i Excel
I går 14:44 ny fjernbetjening til DVD afspiller fra 2004 Af Nette i Andet hardware
I går 12:36 Manglende kode Af Bent i Windows
16/0422:13 Outlook classic "hænger" når jeg vil åbne vedhæftede filer Af torzen i Office & Kontorpakker
White papers
Flere white papers »