search.com Hijack

Kørt hijackthis uden held?
Har du selv slettet noget?

ok, kigger lige din log igennem, der er ting som der skal fixes kan jeg allerede se, men det tager ca. 1 tim. at gå den helt igennem.

ja jeg har fixet hvor der stod search.com ude for, men den kommer tilbage igen

Det er fordi du ikke har fået det hele med, og fordi du sikkert har glemt at deaktive systemgendannelse.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
O4 - HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" –atboottime
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

Genstart din computer, og kør en ny hijackthis. Kopier den nye log herind så jeg kan tjekke at du nu også er clean. Før må du ikke aktiver dit systemgendannelse.

Nå, du fik det væk ikke sandt ved at følge min vejledning.

2 sek :)

var lige ude at handle

SKØNNNNNTTTTTTTTTTT

Logfile of HijackThis v1.97.3
Scan saved at 17:32:05, on 17-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\MSGTAG\MSGTAG.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dennis\Dokumenter\dk-banner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.letstart.dk/organize.asp
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSGTAG] "C:\Programmer\MSGTAG\MSGTAG.exe" /startup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ] C:\Programmer\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\googletoolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\googletoolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\googletoolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\googletoolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page - res://c:\programmer\google\googletoolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/danmark/TemplateGallery/msotd.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37851.46375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50B08B5C-01BB-457D-A887-A3DC2229C4C6}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4971AC1-CA87-4B7B-8B70-D5467DA83990}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{50B08B5C-01BB-457D-A887-A3DC2229C4C6}: NameServer = 194.239.134.83,193.162.153.164

Det var dejligt, nu skulle du være fri for virus, og kan aktiver din systemgendannelse igen.

Lidt råd med på vejen skal du da have. Du skal jo selvfølgelig ikke bytte købt av ud med free, men læs det alligevel.

Jeg har her lavet en lille pakkeløsning fyldt med bitte små prg. som ikke fylder meget på din computer, og som alle kører uden at de konflikter med hinanden. Alle programmerne er garanteret fri for spyware og er desuden Free prg. Du syntes sikkert, det var da frygtelig mange prg. som du skal installere, men det er desværre blevet sådan at det faktisk ikke mere er virus som er Internettets store problem, men i højere grad spyware, trojanere, mailware og hijacking. De prg. som jeg vil foreslå at du kan installere er følgende, som du alle kan finde på dette link: http://www.spywarefri.dk gå til værktøjer, her er de alle og på de fleste er der også en dansk manual. Hvis du installere alle disse små programmer kan du roligt surfe på Nettet uden du skal sidde og være bange for at få alt for meget skidt med ned på din computer.

Man kan hver dag på forsiden af Spywarefri se om der er nye opdateringer. Husk at opdater jævnligt, det er meget vigtigt, for at få den maksimale beskyttelse af programmerne.

Antivirusprg: 
Et godt bud her er Avast som kan rigtig meget. Indeholder en email-scanner . Opdaterer virusdefinitionerne. Dette Antivirus prg. er på fuld højde med dem man køber, hvad angår effektivitet. Ok, layout er gammeldags, men det kommer også fra Tjekkiet, men det er et virkelig godt prg.
Derudover er det en god ting engang imellem at onlinescanne for virus. Dette kan du også gøre på spywarefri. Du bør også onlinescanne for spyware og det kan du gøre med X-Cleaner som du ligeledes kan finde på spywarefri.

SpywareGuard. SpywareGuard. Dette prg. fungerer på samme måde som et Antivirus prg. Det ligger og passer på dig i baggrunden, bare imod spyware og malware i stedet for virus, men fungerer i princippet på samme måde. Derudover passer dette prg. også på at du ikke bliver hijacked.

Spywareblaster. Det er et lille prg. som ligger sig i registreringsdatabasen og sørger for at der ikke kommer spy på din computer.

Spybot el. Ad-aware. Spybot el. Ad-aware. Spybot er nok den som finder mest af disse to, men jeg ville nok installere dem begge to hvis jeg var dig, det som det ene prg. ikke finder, finder det andet prg. Det disse prg. gør er, hvis du får noget spy ind på din pc som Spywareblaster ikke kender, kan de finde og fjerne dette spy.

IE-Spyad. Et lille prg. som ligger sig i registreringsdatabasen. Det ligger en mængde kendte spy Url adresser ind i klassificeret zone, således at du ikke ved et uheld kommer ind på disse grimme spysider.

Startup Monitor kunne også være rar at have installeret. Det er et lille prg. som også ligger sig i registreringsdatabasen. Det som dette prg. kan gøre for dig er, hvis der lige pludselig uden dit vidende ligger sig et prg. f.eks. en trojansk hest i din regedit, vil du blive alarmeret om at der er et prg. som vil ligge sig her, og du vil bliver spurgt om du nu også vil tillade dette.

EmtyTempFolder Dette prg. tømmer hver 5 min. alle dine cookies. Det kan også sættes til automatisk at tømme din History samt alle URL adresser som du har været ude på. Er god til at rydde op i alle disse adresser, cookies og history som man har liggende og fylde på computeren.

Hvis man så har enten kabelnet eller ADSL ja så ville jeg jo også varmt anbefale en firewall. Det er desværre alt for nemt for en hacker at komme inde på din computer hvis du ikke har installeret en firewall. Et godt bud her kunne være Bitguard som du kan købe her: http://www.tryus.dk/start.asp
Dette er kun vejledende men jeg mener dog at du som det mindste bør installere: SpywareBlaster, SpywareGuard, Spybot, EmtyTempFolder (nej til cookies på din pc, men også nej til automatisk login) og IE-Spyad og så selvfølgelig et Antivirusprg.

Udover jeg har fortalt dig at det er utrolig vigtigt hele tiden at opdatere de forskellige programmer mod både Spyware og virus, så er det også meget vigtigt at du hele tiden sørger for at opdatere din Firewall og ikke mindst dit styresystem Windows.

Så kan jeg også kun varmt anbefale dig at få lukket for Dcom. Det kan du gøre via dette link: http://www.spywarefri.dk/tipsogtricks.htm#DCom her kan du også læse lidt om Dcom, hvad det er for noget, samt at det er noget du slet ikke har brug for, så vil jeg stærk anbefale dig at lukke for denne. Vi er blevet gjort opmærksomme på at der er nye varianter af Blaster virus på vej, som vil gå gennem Dcom. Det skal heller ikke være nogen hemmelighed at det faktisk er ved at være et krav at man også kører med en firewall som beskyttelse, især lige nu hvor der er flere huller i IE som WindowsUpdate ikke har nogen løsning på lige pt.

Aovergaard/Team Spywarefri

takker

kane: Det er bestemt ingen god ide at fjerne noget selv med mindre du har indgående kendskab til nøgler og URLs som ligger i din log. Har tidligere haft nogle som ville prøve selv og resultatet blev i det tilfælde en pc der ikke ville på nettet. Jeg vil absolut advare imod det og det har så ikke noget at gøre med at der er nogen som skal ind og være bedrevidende, men jeg snakker af erfaring. Havde det nu været newdot spywaren du havde fjernet kunne du ikke gå på nettet bagefter. Vidste du det? Eller en med det eksotiske navn Hotkey. Ja det er altså en driver og din pc ville højst sansynlig være gået i sort.

Takker for point;) jeg er glad for du slap helskindet ud af det.