Søg
Avatar billede bertelsenbo Nybegynder
04. februar 2004 - 19:26 Der er 5 kommentarer og
1 løsning

Hijackthis hjælp, startside-, host- og hh.htt-hijacked?

Så er den gal, jeg har fanget noget skidt på min computer ved at surfe rundt på nettet som en rigtig nørd. Jeg genkender symptomerne fra sidste gang jeg blev udsat for det:
Efter reboot ændres min startside til noget reklame hø og der ryger omkring 10 nye foretrukne ind under mine foretrukne. Udover dette dannes der en redirect af min auto.search.msn.com til noget reklame-pis, og så dannes der nogle suspekte hh.htt (user stylesheets) filer i min windows mappe, og når jeg sletter dem vender de blot tilbage (2 sek senere).

Hijackthis har hjulpet mig mange gange, men de her bliver VED med at vende tilbage. Så her er en log:

Logfile of HijackThis v1.97.3
Scan saved at 19:18:34, on 04-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programmer\Winamp\winampa.exe
D:\programmer\powerstrip\pstrip.exe
C:\Programmer\AVPersonal\AVGNT.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\steam\steam.exe
D:\menu\quickmenu.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmer\Winamp\winamp.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\John Doe\Skrivebord\StuffSnuff\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/John%20Doe/Dokumenter/startside.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SysMetrix] D:\Programmer\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [PowerStrip] d:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmer\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - Startup: mIRC.lnk = D:\progz\Kopi af mIRC\mirc.exe
O4 - Startup: quickmenu.lnk = D:\menu\quickmenu.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://www.messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37870.131099537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Det skal hilses at sige at min antivirus ikke finder en disse og min spybot (spyware-remover) finder kun hh.htt og sletter dem (men de bliver jo genoprettet).

Spørgsmålet klart defineret: Hjælp mig af med "O1 - Hosts: 205.177.124.66 auto.search.msn.com" og "O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)" permanent OG mit startside- og foretrukne-skifteri.

Hilfe! Det bliver de letteste 100 point i din 'ekspert'-karriere.
Avatar billede fromsej Praktikant
04. februar 2004 - 19:28 #1
Jeg kigger på den.
Avatar billede fromsej Praktikant
04. februar 2004 - 19:35 #2
Prøv med dette værktøj: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe
Kør programmet, tjek for updates, luk alle vinduer, undtaget CWShredder, klik på Next, den scanner nu, når programmet er færdigt, skal du klikke på Next, klik på Exit.

Genstart, og ny logfil.
Avatar billede bertelsenbo Nybegynder
04. februar 2004 - 20:25 #3
Smukt, behøver ikke log. Kan roligt fortælle dig at det ikke vender tilbage.

Efter at ha´ kørt programmet, rebooted og gået ind I HiJackThis og fjernet de 2 ting, så vender de ikke tilbage! Og min startside er ikke skiftet til noget underligt efter reboot.

Tak fromsej!
Avatar billede bertelsenbo Nybegynder
04. februar 2004 - 20:26 #4
Fromsej, lav lige et svar hvis du vil have de 100 points ;)
Avatar billede fromsej Praktikant
04. februar 2004 - 20:27 #5
Jo da.*S*
Avatar billede fromsej Praktikant
04. februar 2004 - 22:29 #6
Tak for point.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
31 min siden Træk data fra ny lokation ved måneds skift Af Hezo i Excel
I dag 13:54 Uønsket "tekst TV" på Denver 24" LED TV MPEG4 DVBT/C TV Af ole falsted i Fjernsyn & projektorer
I dag 10:54 PDF app til Android - Samsung Galaxy XCover 5 Af ErikHg i Andet software
I går 20:18 Hvad tænker du om denne reklame. Af swambodk i Andet design
I går 18:46 Logge ind hos Amazon.de Af Malm i E-handel
White papers
Flere white papers »