CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede moebius Nybegynder
23. maj 2004 - 20:11 Der er 26 kommentarer og
1 løsning

yafoo.biz spyware Anyone?

Hejsa

Jeg har gået hen og fanget noget spyware.
Det påvirker Internet Explorer på den måde at det mærkere bestemte ord med gult, fx computer, hardware osv. Og hvis jeg flytter markøren over dette kommer der en lille menu med links der peger på yafoo.biz
Jeg har prøvet med Ad-Aware, Spybot og Hijack This.
Jeg kan ikke se hvad ikke skal være der...


Logfile of HijackThis v1.97.7
Scan saved at 8:03:15 PM, on 5/23/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://boomtown.net/da_dk
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Opslag (HKLM)
O15 - Trusted Zone: *.boomtown.net
O15 - Trusted Zone: www.hotmail.com
O15 - Trusted Zone: *.tv2.dk
O15 - Trusted Zone: *.www.dr.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://<span id="DOWNLOAD" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">download</span>.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38086.6816898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4362/mcfscan.cab
Avatar billede bartfreak Nybegynder
23. maj 2004 - 20:20 #1
blot et bud

disse >> O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Opslag (HKLM)
kilde >> http://www.help2go.com/article153.html
Avatar billede moebius Nybegynder
23. maj 2004 - 20:26 #2
Desvæære. Det er ikke Google SearchBar der laver ting...
Hvis du forestiller dig dette ord: Download, med gul baggrund og en lille menu når man peger. Menuen indeholder:

Category:Computers
Related links:
Antivirus Software
Cameras
Computer Virus
Desktop Computers
Digital Photography
Laptops
MP3 Downloads
Software

Category: og
Related links:

Er det eneste der ikke er links. Resten referere til yafoo.biz som auto søg på ordet man nu har klikket på.

Jeg er som sådan ligeglad med menuen, men den gule farve driver mig til vanvid...
Avatar billede resist Nybegynder
23. maj 2004 - 20:29 #3
bartfreak >>> de er en del af Google Toolbar!

Nu skal jeg kigge på loggen.
Avatar billede Slettet bruger
23. maj 2004 - 20:30 #4
Hvad med denne:
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://<span id="DOWNLOAD" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">download</span>.macromedia.com/pub/shockwave/cabs/director/sw.cab
Avatar billede moebius Nybegynder
23. maj 2004 - 20:31 #5
Det er Shockware. Det gider jeg ikke blive ved med at fjerne hver gang jeg har været på en side hvor det bliver brugt...
Avatar billede bartfreak Nybegynder
23. maj 2004 - 20:33 #6
det oz blot et bud..O)
Men jeg ville fjerne dem , anyway.
Avatar billede moebius Nybegynder
23. maj 2004 - 20:34 #7
Og du er velkommen til at komme med bud.
Det er jo det Eksperten er her for. :)
Avatar billede Slettet bruger
23. maj 2004 - 20:37 #8
moebius> jeg spurgte fordi min shockwave ikke ser sådan ud, der er ikke noget med onmouseover mm så derfor :-)
Avatar billede moebius Nybegynder
23. maj 2004 - 20:38 #9
Hmm... Okay. Kan da lige prøve...
Avatar billede Slettet bruger
23. maj 2004 - 20:38 #10
Min ser sådan ud:
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
Avatar billede Slettet bruger
23. maj 2004 - 20:39 #11
Vent hellere til resist er færdig med at kigge.
Avatar billede resist Nybegynder
23. maj 2004 - 20:39 #12
Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle

Herunder er der nogle filer, som du skal fixe. Sæt en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned.

Fix disse med HijackThis:

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://<span id="DOWNLOAD" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">download</span>.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab


Genstart og send en ny log herind til tjek
Avatar billede resist Nybegynder
23. maj 2004 - 20:40 #13
Og glem lige systemgendannelse ;-) Det findes vist ikke på Windows 2000
Avatar billede bartfreak Nybegynder
23. maj 2004 - 20:41 #14
jo det gør..O)
Avatar billede moebius Nybegynder
23. maj 2004 - 20:46 #15
Okay, det virkede ikke med at fjerne Shockware linien.
Jeg ser ingen grund til at fjerne
O1 - Hosts: 213.159.117.235 auto.search.msn.com
da det er navn til ip oversættelse i HOSTS filen, hvilket gør det nemmere for computeren at finde den pågældene adresse...

Ej heller ser jeg en grund til at fjerne IE's mulighed for at behandle XML filer...
Avatar billede resist Nybegynder
23. maj 2004 - 20:50 #16
Kom lige med en ny log fra HijackThis - tak
Avatar billede moebius Nybegynder
23. maj 2004 - 20:50 #17
Logfile of HijackThis v1.97.7
Scan saved at 8:52:28 PM, on 5/23/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://boomtown.net/da_dk
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Opslag (HKLM)
O15 - Trusted Zone: *.boomtown.net
O15 - Trusted Zone: www.hotmail.com
O15 - Trusted Zone: *.tv2.dk
O15 - Trusted Zone: *.www.dr.dk
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38086.6816898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4362/mcfscan.cab
Avatar billede resist Nybegynder
23. maj 2004 - 21:05 #18
Når du har fixet disse to med HijackThis, ser din log ren ud!

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
Avatar billede moebius Nybegynder
23. maj 2004 - 21:08 #19
Ikke for et hakke ned på dig, men det vil ikke hjælpe på mit problem.
Avatar billede resist Nybegynder
23. maj 2004 - 21:12 #20
Jeg prøver bare at rense din HijackThis-log. Fix dem, genstart og kopier eventuelt en ny log herind, så kan vi da sige, om HijackThis-loggen ser ren ud.
Avatar billede moebius Nybegynder
23. maj 2004 - 21:16 #21
Det har jeg opfattet, men mit problem er ikke om min log er pæn og ren, men at der er noget fuck i min Internet Explorer.
Loggen gik jeg bare udfra at folk gerne vil se, da jeg har prøve med Hijack This.

Efter min egen mening er Hijack This ikke tiden, man bruger på det, værd.
Det er jo lige så simplet at kigge i regedit.
Avatar billede bartfreak Nybegynder
23. maj 2004 - 21:24 #22
enig..O)
check denne sti.>>
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run + runonce + runservice..

men efter denne tur er der sikkert ik´e noget.
held og lykke..O)
Avatar billede resist Nybegynder
23. maj 2004 - 21:28 #23
Prøv at hente CWShredder her:

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Kør programmet, tjek for updates, luk alle vinduer, undtagen CWShredder, klik på Fix. Programmet scanner nu. Når det er færdigt, så klik på Next og Exit.

Fandt programmet noget?
Avatar billede moebius Nybegynder
23. maj 2004 - 21:33 #24
Ja.
CWS.BOOTCONF
CWS.SEARCHX

Og det hjalp.
Tak...
Avatar billede resist Nybegynder
23. maj 2004 - 21:34 #25
Så smider jeg et svar ;-)
Avatar billede moebius Nybegynder
23. maj 2004 - 21:37 #26
Underligt...
Den smid tp filer i min papirkurv.
msvsres.dll
og
readme.txt vigtig meddelse til opdatering af IE6 og Outlook express... Skummelt...
Avatar billede resist Nybegynder
23. maj 2004 - 21:41 #27
Takker for point ;-)

Her er et par links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://experten.dk/artikler/254
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Hvorfor nævnes VPN beskyttelse aldrig af eksperter? Af jcr18 i Andet sikkerhed 11 01/03/202419:47 04/03/202411:25
Glemt skærmlås Af Betkri i Andet sikkerhed 18 13/02/202410:39 15/02/202409:48
I facebok kommer efterhånden konstant samme reklame/ annonce op Af Novice-1 i Andet sikkerhed 5 08/02/202417:15 10/02/202410:24
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 09:53 Monitor mode kali linux Af Braindead mac user i Linux
I dag 08:06 AI til billede behandling Af 2deep i Apps til iOS
I går 21:50 Nul efter forreste tal Af Marting i Excel
I går 20:34 Login Router/Modem/Fiberboks Af Mads2707 i Routere & Switches
I går 19:15 Fjerne tomme celler i kolonne Af torben lind i Excel
White papers
Flere white papers »


Premium
Teaser billede
Socialdemokratiet vil give massiv offentlig støtte til europæiske AI-virksomheder
Læs mere »
Interne mails afslører: Derfor besluttede Microsoft at investere milliarder i OpenAI i 2019
Jakob Høholdt fratræder som CEO for Sentia: Indsætter ny topchef fra Aeven
Åbner for en af Danmarks største it-konsulentaftaler til 2,3 milliarder kroner
Se alle »
Computerworld
Teaser billede
Prøvekørt: Sydkoreansk familie-kolos har plads til alle og sætter alle på plads
Læs mere »
Apotekskæde lukker alle butikker efter "cybersikkerhedshændelse"
Hypet browser bliver nu lanceret til Windows: Skal blive til et styresystem for internettet
Test: Disse små højttalere til 44.000 kroner per sæt vil blæse dig bagover - både visuelt og lydmæssigt
Se alle »
CIO
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Top-CIO Anne Nørklit færdig hos Tryg: “Jeg vil bruge sommeren på at overveje, hvad fremtiden skal bringe”
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Her er Trygs nye CIO - afløser Anne Nørklit Lønborg
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Opdag fordelene ved cloud-baseret backup og recovery
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »