Søg
Avatar billede Bennysørensen Praktikant
17. maj 2004 - 03:43 Der er 8 kommentarer og
1 løsning

Hijacked - nu er det min tur

Jeg er blevet hijacked, og har været igennem ad-aware, spywareblaster, spy-bot og HiJackThis. Mit system restore er slået fra.

Her er min log: Jeg har kigget på en del andre spørgsmål herinde og fjernet ud fra dét, men der er vist stadig noget kludder et sted.

Logfile of HijackThis v1.97.7
Scan saved at 3:41:50 AM, on 5/17/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\htpatch.exe
E:\WINDOWS\System32\RunDll32.exe
E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
E:\Program Files\Logitech\iTouch\iTouch.exe
E:\PROGRA~1\aim bias mix\Long shim.exe
E:\Program Files\Nokia\Nokia PC Suite 5\DataLayer.exe
E:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Logitech\iTouch\kbdtray.exe
E:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
E:\WINDOWS\system32\cmd.exe
e:\program files\internet explorer\iexplore.exe
C:\Program Files\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - E:\WINDOWS\msue\mssearch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: AccessibilityToolbar - {9E0C6AAD-A8E3-4E49-9DBD-786099B599A4} - E:\Program Files\AccessibilityToolbar Toolbar\AccessibilityToolbar.dll
O4 - HKLM\..\Run: [HTpatch] E:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] E:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Rect Chic] E:\PROGRA~1\aim bias mix\Long shim.exe
O4 - HKLM\..\Run: [DataLayer] E:\Program Files\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] E:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Image] rundll32 E:\WINDOWS\image.dll,Install
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [Image] rundll32 E:\WINDOWS\image.dll,Install
O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Toggle AccessibilityToolbar toolbar (HKLM)
O9 - Extra 'Tools' menuitem: &AccessibilityToolbar toolbar (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede majsmarken Nybegynder
17. maj 2004 - 07:29 #1
Ikke fordi det har noget med sagen at gøre men har du #:\Program Files\* liggende på E: drevet ?

Iøvrigt kik i [MSCONFIG] i STARTfolder og fraklik "mistænkelige" elementer...
Avatar billede fromsej Praktikant
17. maj 2004 - 08:54 #2
Først et lille hjertesuk, det gør ikke opgaven lettere at man fjerner noget selv, tingene kan hænge sammen, og bliver uoverskuelige når vi ikke ved hvad der er væk.

Flyt filen Hijackthis til en mappe oprettet kun til den.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet mapperne listet nederst.
Dobbelttjek, så alt kommer med.

O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - E:\WINDOWS\msue\mssearch.dll
O3 - Toolbar: AccessibilityToolbar - {9E0C6AAD-A8E3-4E49-9DBD-786099B599A4} - E:\Program Files\AccessibilityToolbar Toolbar\AccessibilityToolbar.dll
O4 - HKLM\..\Run: [Rect Chic] E:\PROGRA~1\aim bias mix\Long shim.exe
O4 - HKLM\..\Run: [Image] rundll32 E:\WINDOWS\image.dll,Install
O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe


---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
.
---------------------------------------
Slettes i fejlsikret.
E:\Program Files\AccessibilityToolbar Toolbar
E:\PROGRA~1\aim bias mix
---------------------------------------
Du skal også lige hente og installere Servicepack 1, hotfixes og Sasserfixet her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 - Sasserfix.
Derefter opdater online hos Microsoft.

Genstart og kom med en ny logfil, så jeg kan se om alt er med.
Avatar billede Bennysørensen Praktikant
17. maj 2004 - 08:56 #3
Yep: Jeg tog C-drevet på 3 Gb fra min gamle maskine med over på min nye, og derfor hedder mit 40 Gb-drev så E.
Avatar billede Bennysørensen Praktikant
17. maj 2004 - 09:13 #4
Jamen, du kan da godt lige se hvad jeg har fjernet:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049

&

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab.

De øverste var ikke svære at regne ud, eftersom de allesammen peger på den startside jeg ikke selv har valgt, og den nederste fandt jeg i et andet svar. Er det bedre?

Og så lige et lille hjertesuk selv: Er det ikke farligt at starte med et hjertesuk, når jeg kan se at min tekst ikke er blevet læst (nu står der f.eks at jeg har slået systemgendannelse fra), og at der er kopieret en standardtekst ind før analysen af min logfil? :o)
..og at Accesibility Tool-bar'en har ligget på min maskine i et halvt år før der gik noget galt, og altså ikke er noget snavs, men bare noget, du ikke kender? :o)

Don't get me wrong, det her er selvf en stor hjælp.

Mvh
Avatar billede fromsej Praktikant
17. maj 2004 - 09:24 #5
Det med standardteksten er rigtigt, jeg kan ved gud ikke se nogen grund til at skrive det samme op til 50 gange om dagen, at jeg så glemte at klippe linien med systemgendannelse ud har en hel del at gøre med at jeg kun er på min anden kop kaffe. ;o)
Samme undskyldning går på den toolbar, den er legal.
De linier du selv har fjernet viser til gengæld at det er CoolWebSearch du har været ramt af, så snup lige en tur med vores ven CWShredder.
(Ja, følgende er også en standardtekst.)
Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Next, den scanner nu, når den er færdig klik på Fix, klik på Exit.


Prøv så en tur med Regedit.
Klik på Start->Kør skriv regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Klik så på "Denne computer" i Regeditvinduet, derefter på "Redigér->Søg" skriv "Homeoldsp" klik på "find næste" slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet.
Samme fremgangsmåde med søgeordet About:blank.

Derefter genstart, og en ny hijackthislog.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.
Avatar billede Bennysørensen Praktikant
17. maj 2004 - 09:46 #6
Jeg vender lige tilbage i morgen: Du har bedt mig om at slette filerne til mit trådløse tastatur, så jeg har ikke tid til at fixe det hele inden jeg skal på arbejde...det er lidt rodet at skulle hente filer osv hos logitech uden en trådet mus.

Mvh
Avatar billede fromsej Praktikant
17. maj 2004 - 09:50 #7
Trådløse tastatur?
Hvilke filer?
Den her?
LDMConf.exe
http://www.2-spyware.com/file-ldmconf-exe.html
Glem det, du klarer bare dig selv.
Avatar billede Bennysørensen Praktikant
17. maj 2004 - 11:28 #8
Indrømmet, dér skulle jeg have hold kæft, men hvad skal jeg sige...mit trådløse logitech-tastatur virker ikke mere ligegykdigt hvor meget jeg connecter.

Beklager den sene accept: Jeg troede rent faktisk at jeg havde gjort dét i morges.
Avatar billede fromsej Praktikant
17. maj 2004 - 11:31 #9
Helt i orden.
Det eneste jeg kan sige med dit trådløse tastatur er geninstallation af driveren, tjek også lige klassikeren om der er strøm på.
Tak for point.
Vi har lavet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 08:32 Office pakke LTSC vs Retail? Af Don G i Office & Kontorpakker
I går 21:19 Lydindstilling Prosonic TV Af TageArent i Fjernsyn & projektorer
I går 15:37 Sort skærm Af mort1 i Windows
09/0412:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
08/0410:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
White papers
Flere white papers »