Notifikationer

Markér alle som læst Log ud

krumling Nybegynder

04. maj 2004 - 22:49 Der er 4 kommentarer og
3 løsninger

Hjælp til HijackThis log!

Hej
Er der nogen som kan hjælpe os med at rense vores PC? Startsiden ændre sig hele tiden automatisk til "about:blank". Vi har lavet flere scan i HijackThis, og det lader til at "about:blank" kommer i stadigt flere linjer. Desuden har vi ikke set benævnelsen "obfuscated" i R1-linjerne før.

Med venlig hilsen
Krumlingen

Logfile of HijackThis v1.97.3
Scan saved at 22:41:02, on 04-05-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Webspeed\backweb\7791805\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
D:\program files\Webspeed\Anti-Virus\fsgk32st.exe
D:\program files\Webspeed\Anti-Virus\FSGK32.EXE
D:\program files\Webspeed\backweb\7791805\program\fsbwsys.exe
D:\program files\Webspeed\Anti-Virus\fssm32.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\program files\Webspeed\Common\FSMA32.EXE
D:\program files\Webspeed\Common\FSMB32.EXE
D:\program files\Webspeed\Common\FCH32.EXE
D:\program files\Webspeed\Anti-Virus\fsav32.exe
D:\program files\Webspeed\Common\FAMEH32.EXE
C:\WINNT\Explorer.EXE
D:\program files\Webspeed\DFW\Program\fsdfwd.exe
D:\program files\Webspeed\backweb\7791805\Program\BackWeb-7791805.exe
C:\WINNT\System32\svchost.exe
D:\program files\Webspeed\Common\FSM32.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
D:\program files\HijackThis.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
D:\program files\office\Office\OUTLOOK.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\lccbif.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {8C201F0F-A407-4EB0-9DFB-4766DB20D03F} - C:\WINNT\system32\lccbif.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "D:\program files\Webspeed\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\program files\Webspeed\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = D:\program files\office\Office\OSA9.EXE
O4 - Global Startup: AudioDeck.lnk = C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37972.5571990741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18722A7E-B6FD-4280-A0F3-8964D796B2C3}: NameServer = 212.242.40.3,212.242.40.51

Synes godt om

arlet Juniormester

04. maj 2004 - 23:14 #1

Hent og kør CWSHredder herfra: http://www.arlet.dk/special.htm
genstart og ny hijackthis log

Synes godt om

krumling Nybegynder

04. maj 2004 - 23:30 #2

er gjort. her er ny log fil. hvad gør vi ved "about blank" linjerne, som stadig er der, og som stadig anvendes som automatisk startside?

Logfile of HijackThis v1.97.3
Scan saved at 23:25:19, on 04-05-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Webspeed\backweb\7791805\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
D:\program files\Webspeed\Anti-Virus\fsgk32st.exe
D:\program files\Webspeed\Anti-Virus\FSGK32.EXE
D:\program files\Webspeed\backweb\7791805\program\fsbwsys.exe
D:\program files\Webspeed\Anti-Virus\fssm32.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\program files\Webspeed\Common\FSMA32.EXE
D:\program files\Webspeed\Common\FSMB32.EXE
D:\program files\Webspeed\Common\FCH32.EXE
D:\program files\Webspeed\Common\FAMEH32.EXE
D:\program files\Webspeed\Anti-Virus\fsav32.exe
D:\program files\Webspeed\DFW\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
D:\program files\Webspeed\backweb\7791805\Program\BackWeb-7791805.exe
D:\program files\Webspeed\Common\FSM32.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
D:\program files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "D:\program files\Webspeed\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\program files\Webspeed\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = D:\program files\office\Office\OSA9.EXE
O4 - Global Startup: AudioDeck.lnk = C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37972.5571990741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18722A7E-B6FD-4280-A0F3-8964D796B2C3}: NameServer = 212.242.40.3,212.242.40.51

Synes godt om

arlet Juniormester

05. maj 2004 - 00:08 #3

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Synes godt om

krumling Nybegynder

05. maj 2004 - 00:43 #4

Hej

Nu er vores startside igen MSN... Dejligt! Så måske den er renset? Jeg har ikke lagt mærke til linje O17 før. Men det er måske efter jeg fik webspeed? Det sidste er ikke så vigtigt, blot vi er renset :-)

Logfile of HijackThis v1.97.3
Scan saved at 00:39:01, on 05-05-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Webspeed\backweb\7791805\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
D:\program files\Webspeed\Anti-Virus\fsgk32st.exe
D:\program files\Webspeed\Anti-Virus\FSGK32.EXE
D:\program files\Webspeed\backweb\7791805\program\fsbwsys.exe
D:\program files\Webspeed\Anti-Virus\fssm32.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\program files\Webspeed\Common\FSMA32.EXE
D:\program files\Webspeed\Common\FSMB32.EXE
D:\program files\Webspeed\Common\FCH32.EXE
D:\program files\Webspeed\Common\FAMEH32.EXE
D:\program files\Webspeed\Anti-Virus\fsav32.exe
D:\program files\Webspeed\DFW\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
D:\program files\Webspeed\backweb\7791805\Program\BackWeb-7791805.exe
D:\program files\Webspeed\Common\FSM32.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programmer\Ad-aware 6\Ad-watch.exe
D:\program files\Hijacjthis\HijackThis.exe
D:\program files\office\Office\OUTLOOK.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "D:\program files\Webspeed\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\program files\Webspeed\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = D:\program files\office\Office\OSA9.EXE
O4 - Global Startup: AudioDeck.lnk = C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37972.5571990741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18722A7E-B6FD-4280-A0F3-8964D796B2C3}: NameServer = 212.242.40.3,212.242.40.51

Synes godt om

arlet Juniormester

05. maj 2004 - 00:56 #5

Så er du ren

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Synes godt om

krumling Nybegynder

05. maj 2004 - 00:59 #6

Mange tak for hjælpen

Synes godt om

arlet Juniormester

05. maj 2004 - 07:58 #7

Velbekommen

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed	5	17/03/202610:32	18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed	6	02/02/202614:54	03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed	4	13/01/202617:27	14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

10/04

Test: Denne mikro-pc er langt mere slagkraftig end den ser ud

10/04

SAS Institute rykker rundt i topledelsen: Her er selskabets nye danske landechef

10/04

Dansk AI-ekspert med ildevarslende spådom: "Vi er alle sammen på vej hen imod en stor sort mur, og vi aner ikke, hvad der findes på den anden side"

10/04

Nørgaard: Jeg er skuffet over Googles Gemini - og jeg har min egen forklaring på, hvorfor det er gået galt for Google

10/04

Først blev Teams smidt på porten – nu vil Frankrig også af med Windows

10/04

Nyt job til Danmarks bedste CISO: Får ansvaret for 64.000 ansatte

10/04

Flere hundredetusinder togrejsende ramt: Stjålne persondata sat til salg efter cyberangreb

10/04

Så meget får de danske it-konsulenter i løn: Næsten alle forventer mere i lønposen ved næsten lønforhandling

10/04

Her er 10 konkrete måder at måle på, om kunstig intelligens skaber værdi for dig

10/04

Microsoft sænker prisen på tre af sine cloud-løsninger med 20 procent

10/04

Kunstig intelligens i praksis – og uden hype

Vis flere artikler

IT-JOB

Csis Security Group A/S

Junior Software Engineer

TV2

Identity Lifecycle & Access Management Specialist til IAM-teamet

KMD A/S

Senior Service Delivery Manager (SDM)

Nextway Software A/S

Product Configuration Specialist

Politiets Efterretningstjeneste

Fullstack softwareudvikler i PET

Vis flere jobs

Seneste spørgsmål Seneste aktivitet

I dag 17:32	Jeg kan ikke opdatere min iPad til ios 26.4.1. Af Bettina i Apps til iOS
I dag 08:32	Office pakke LTSC vs Retail? Af Don G i Office & Kontorpakker
I går 21:19	Lydindstilling Prosonic TV Af TageArent i Fjernsyn & projektorer
I går 15:37	Sort skærm Af mort1 i Windows
09/0412:32	iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS

White papers

Erfaringer fra frontlinjen: Sådan ændrer trusselsbilledet sig
Arctic Wolf
Samarbejde mellem AI og mennesker styrker sikkerheden
Konica Minolta
Find den SOC-model, der virker i praksis
SecureDevice
Arctic Wolf Threat Report 2026: Sådan ændrer ransomware-landskabet sig
Arctic Wolf

Flere white papers »