Ad-Aware / Browser Hijack Attempt Object recognized

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Så skal de nok fortælle dig, hvis din startside bliver forsøgt at lave om

Læsestof om at undgå skidtet, og beskytte sig imod det.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/284

Hej arlet,

Så har jeg fulgt anvisningen og installeret programmerne og fik lige hevet de sidste opdateringer til Windows XP i land... Woops :-/

Efter at have genstartet pc'eren, kørte jeg Ad-Aware som fandt den samme fil som før. Jeg slettede filen og fik i samme øjeblik en meddelelse (denne gang fra SpywareGuard) om at nogen/noget forsøgte, at ændre min startside til den samme som før (www.msn.dk?etellerandet) - Her afviste jeg selvfølgelig!

Jeg har lige et par spørgsmål:

Kan jeg regne med at "Browser Hijack Attempt Object"-filen er slettet og ikke vender tilbage (det har den gjort 3 gange i dag, selv efter at jeg har slettet den med Ad-Aware)?

Hvor kommer den type fil fra og er danske hjemmesider lige så befængte med "spywarecrab" som andre?

Hvordan kan det være at jeg får en popunder for hver side jeg besøger på Eksperten nu? - Det fik jeg dog ikke før... Er der en indstilling jeg mangler at sætte, for at undgå dette?

Apo

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Godt så, herunder følger logfilen:
----------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 11:35:51, on 07-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\OpenOffice.org1.1.0\program\soffice.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Apo\Skrivebord\Sikkerhedsværktøjer\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.startup.homepage", ""); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programmer\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/194733ce1635527ffc05/netzip/RdxIE601.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
------------------------------------------

Hvordan ser det ud?

Apo

Jeg glemte at genstarte før jeg udpakkede og kørte Hijackthis... Jeg håber ikke at det gør en forskel?

Apo

Er der samtidig én der kan svare mig på, hvorfor Eksperten spytter popunders ud som aldrig før? Jeg sidder i øjeblikket med 21 popunders, alle sammen Dell-reklamer fra Eksperten?

Skal jeg virkelig til at anskaffe mig en "reklamecrab-killer", bare fordi jeg vil besøge Eksperten? (det har ikke været nødvendigt før nu...)

Apo

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linien listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filen listet nederst.

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\p_981116.exe
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se den er væk.

For at slippe for popups-popunders:
Hent og installer den engelske version af google Toolbar, den har en glimrende popupstopper.
http://toolbar.google.com/

Så har jeg fulgt anvisningen. Her er den nye logfil:
---------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 11:49:26, on 08-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\OpenOffice.org1.1.0\program\soffice.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Apo\Skrivebord\Sikkerhedsværktøjer\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.startup.homepage", ""); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programmer\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/194733ce1635527ffc05/netzip/RdxIE601.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----------------------------------------------

Apo

Jeg glemte at spørge om du bruger Mozilla/Netscape?
N3 - Netscape 7: user_pref("browser.startup.homepage", ""); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Apo\Application Data\Mozilla\Profiles\default\jwta4l20.slt\prefs.js)
Hvis du svarer ja til det er din log ren.
for at holde den ren kan du kigge i de artikler jeg lagde link til her:
06/05-2004 21:34:56
Er dit problem løst?

Ja, jeg har Netscape installeret.

Problemer er ikke løst. Når jeg kører Ad-Aware, får jeg den samme meddelelse som jeg nævnte i mit første indlæg :-/

Jeg har slettet den mange gange før i Ad-Aware, men den vender hele tiden tilbage.

Apo

Det har jeg heldigvis et svar på.
Det kan du tage helt roligt.
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=2767

Okay, det bliver bl.a. nævnt at hvis startsiden er sat til "about:blank", vil data mineren lave startsiden om til en tidligere startside. Men det mystiske er at jeg aldrig har haft MSN som startside, hvordan hænger det så sammen?

Vil det så sige at hvis jeg sætter startsiden til en http://adresse, så vil jeg ikke længere modtage advarsler om at startsiden bliver forsøgt ændret?

Apo

Den MSN er default når du installerer Internet Explorer, så det stammer helt tilbage derfra.
Det andet må du lade komme an på en prøve.

Nu har jeg genstartet og kørt Ad-Aware - Intet skrald fundet. Jeg har samtidig erstattet about:blank med en eksisterende internetadresse. Så det lader til at det hele kører fint nu.

Jeg har også installeret Google Toolbar, med "popup-kvaser" - Så nu kan Eksperten og andre bare websites bare fyre deres reklamer ud i den blå luft :D (Det er blevet helt behageligt at besøge Eksperten, uden alle de latterlige popups, man alligevel bare lukker!)

Som sagt så ser det ud til at mine problemer med spyware er løst (så vidt jeg ved). Så, jeg takker mange gange for indsatsen og din hjælp!

Pointfordeling:

arlet: 10 points, for henvisning til programpakken.
fromsej: 20 points, for hjælpsomheden med logfiler, m.v. og løsningen på mit problem.

Tak for hjælpen!

// Lukker

Apo

Velbekomme, og tak for point.*S*