havzi.dll (hack af IE start page)

http://www.spywarefri.dk/vaerktoj.htm#hijackthis

http://www.spywarefri.dk/vaerktoj.htm#spybot
Hent disse to programmer
Først spybot. Installer og opdater. Scan og afhjælp det den finder (markeret med rødt)
Derefter henter du hijackthis og scanner og gemmer loggen. Kopier den herind, så kigger vi på den. Du må ikke fixe noget selv. Det kan gå grueligt galt :O)

Det er en ny hijacker vi skal have fjernet.

Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Hent og opdater CWShredder: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

Disse to programmer skal vi også bruge for at få den fjernet.

Kom med en log fra hijackthis når du er klar....

Hej - jeg har været turen igennem med ad-aware - uden resultat. Jeg prøver de andre ting når jeg kommer hjem... Ufatteligt med det skidt!! :-(

Ja det er en rigtig grimrian den der.....
Hvordan har du fået den????
Hvor har du været???
Det bliver mellem os og læserne :O)

Husk nu at komme med en logfil fra hijack. Det er den jeg skal bruge for at rense din pc...

Ad-aware fandt som sagt noget - og det gjorde spybot også. Det er måskei virkeligheden ikke så overraskende - men lige lidt hjalp det...

Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 16:43:42, on 18-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmer\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\ntyj32.exe
C:\Programmer\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Dit.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\Trend Micro\Internet Security\pccguide.exe
C:\Programmer\Trend Micro\Internet Security\PCClient.exe
C:\Programmer\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\system32\ievq.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\bms\Lokale indstillinger\Temporary Internet Files\Content.IE5\RVHNJ1GW\hijackthis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\havzi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://havzi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://havzi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\havzi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://havzi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\havzi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.com/"); (C:\Programmer\Netscape\Users\bms\prefs.js)
O2 - BHO: (no name) - {72B3B578-A76A-7C0A-70B4-F15E624D8319} - C:\WINDOWS\system32\ntik32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmer\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmer\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmer\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [ievq.exe] C:\WINDOWS\system32\ievq.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programmer\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Rave 2] C:\Programmer\Rave 2\Rave.exe
O4 - HKLM\..\RunOnce: [ntyj32.exe] C:\WINDOWS\ntyj32.exe
O4 - HKLM\..\RunOnce: [mfccl.exe] C:\WINDOWS\system32\mfccl.exe
O4 - HKLM\..\RunOnce: [mfcap.exe] C:\WINDOWS\mfcap.exe
O4 - HKLM\..\RunOnce: [adddu.exe] C:\WINDOWS\system32\adddu.exe
O4 - HKLM\..\RunOnce: [mfcbb32.exe] C:\WINDOWS\system32\mfcbb32.exe
O4 - HKLM\..\RunOnce: [nttk32.exe] C:\WINDOWS\nttk32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .avi: C:\Programmer\Netscape\Communicator\Program\PLUGINS\npavi32.dll
O12 - Plugin for .scr: C:\Programmer\Netscape\Communicator\Program\PLUGINS\npaudio.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://qp.hum.auc.dk/qp2.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Der er flere henvisninger til "havzi.dll" ser jeg - men må hellere lige høre dig inden jeg sletter...

Nå - jeg prøvede at slette det. Det virkede fint - men kun første gang jeg åbner IE - næste gang er den hackede side + filen "havzi.dll" der igen!

Nå - der kom heldigvis en update fra ad-ware idag(!) der klarede den. Det må ha' været en helt ny highjack'er jeg havde fået...

Lukker...

Ja du må undskylde jeg ikke lige vendte tilbage, men jeg har haft travlt i weekenden.
Godt du klarede den selv...
Og du har ganske ret i at det var en ny hijacker, du havde fået inden for.
Vi har kæmpet en brav kamp for at finde midlet mod den. Men som du også selv fandt ud af, klarer ad-aware den nu....