Søg
Avatar billede ostehamster Nybegynder
01. juli 2004 - 08:52 Der er 13 kommentarer og
1 løsning

Startside i IE bliver ændret ved nedlukning

Hejsa

Jeg sidder her med en halv syg Windows 2k maskine, som ikke helt vil som jeg vil.

Hver gang den lukkes ned, bliver startsiden ændret til C:\WINNT\system32\IEsp.mht. Hvis jeg sletter denne fil, bliver den bare lavet igen ved opstart.

Jeg har kørt Norton Antivirus (ikke fordi jeg troede det hjalp, men bare for at gøre det). Derefter kørte jeg Adaware, som fandt noget, men ikke lige det den skulle finde.

Når Adaware ikke finder det, hvad kan jeg så gøre? Det er 1½ år siden jeg har kørt windows, så jeg ved ikke lige hvad jeg skal gøre.

mvh
Christoffer
Avatar billede andersenph Nybegynder
01. juli 2004 - 08:53 #1
http://www.spywarefri.dk/vaerktoj.htm#hijackthis

http://www.spywarefri.dk/vaerktoj.htm#spybot
Hent disse to programmer
Først spybot. Installer og opdater. Scan og afhjælp det den finder (markeret med rødt)
Derefter henter du hijackthis og scanner og gemmer loggen. Kopier den herind, så kigger vi på den. Du må ikke fixe noget selv. Det kan gå grueligt galt :O
Avatar billede andersenph Nybegynder
01. juli 2004 - 08:55 #2
Du er ganske rigtigt blevet hijacket.
Vi har et par programmer, som vi bruger til at finde ud af hvordan opgaven skal løses.
Hvis du starter med de to programmer jeg omtaler ovenover, er vi godt i gang.

Jeg kan så se i den log fil du kopierer herind, hvad vi så skal gøre...
Avatar billede ostehamster Nybegynder
01. juli 2004 - 08:56 #3
Hvordan bliver man hijacket? Er det bare huller i IE, som kan eksekvere kode på computeren via en hjemmeside?
Avatar billede andersenph Nybegynder
01. juli 2004 - 09:00 #4
Jeg har ikke den endegyldige forklaring på hvordan det foregår, men en ubeskyttet maskine på de forkerte hjemmesider er ikke nogen god kombination.
Jeg vil vise dig nogle programmer der kan beskytte dig.
Så jo det er vel egentligt huller der bliver udnyttet af komercielt ondsindede personer/firmaer
Avatar billede andersenph Nybegynder
01. juli 2004 - 09:01 #5
Nu renser vi lige din maskine og så får du et par tips til at beskytte dig mod hijackere og spyware til sidst...
Avatar billede ostehamster Nybegynder
01. juli 2004 - 09:04 #6
Logfile of HijackThis v1.97.7
Scan saved at 09:02:30, on 01-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\system32\NDrv.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\IEsp.mht
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINNT\system32\msadocm32.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\system32\NDrv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C92B4500-B0F8-490F-9C9D-F71D00709684} - C:\WINNT\1088504598.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GhostStartTrayApp] rem  H:\Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Wwha] C:\Documents and Settings\Administrator\Application Data\amuu.exe
O4 - HKCU\..\Run: [NDrv] C:\WINNT\system32\NDrv.exe
O15 - Trusted Zone: *.mt-download.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede ostehamster Nybegynder
01. juli 2004 - 09:05 #7
Der var loggen. Desuden er har Norton lige fundet en Trojan.KillAV. Lækkert at man køre linux derhjemme :)
Avatar billede andersenph Nybegynder
01. juli 2004 - 09:05 #8
http://www3.telus.net/mikebike/Homepage%20Hijacking.html
Du kan læse lidt om det her. Siden er godt nok på engelsk.
Men der er en del links til nogle af de programmer du skal bruge senere.
Ellers plejer jeg at henvise til http://www.eksperten.dk/artikler/144

Jeg tyder lige loggen og vender tilbage om 5 minutter....
Avatar billede andersenph Nybegynder
01. juli 2004 - 09:26 #9
Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.


Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Click på Fix checked.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\IEsp.mht
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINNT\system32\msadocm32.dll
O2 - BHO: (no name) - {C92B4500-B0F8-490F-9C9D-F71D00709684} - C:\WINNT\1088504598.dll




--------------------------------------------------------------------
Den næste her er jeg usikker på:
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\system32\NDrv.dll
Jeg kan se at den blixet andre steder ude på nettet af folk der er skrappere end mig, men I dit tilfælde ligger der også en fil i system32 mappen (C:\WINNT\system32\NDrv.exe ) og den bliver ikke fjernet.
Prøv kun at fixe 02 linien og så lader vi filen være i system32 mappen til at starte med….
-----------------------------------------------------------------------

Derefter genstarter du og sender en ny log ind til check
Avatar billede le_bon Nybegynder
01. juli 2004 - 10:28 #10
Ostehamster >> Her kan du læse lidt om hvad sådan en browser hijacker kan lave/komme af. - Det er ikke nødvendigvis Cool Web Search du har, men det du har minder sikkert om det: http://www.scumware.com/apps/scumware.php/action::view_article/article_id::1075329940/topic::Scumware,-Spyware,-Adware-&-Malware-Applications/
Avatar billede ostehamster Nybegynder
01. juli 2004 - 16:17 #11
Hejsa

Jeg takker mange gange, nu køre det uden problemer. Start siden i IE var i hvert ikke lavet om ved reboot.

Så jeg takker mange gange, andersenph, gider du ligge et svar?

Iøvrigt, hvis jeg installere Mozilla på alle maskine her i firmaet, vil det så ikke løse en del af problemet med spyware?
Avatar billede andersenph Nybegynder
01. juli 2004 - 16:23 #12
Hent og installer følgende programmer, så kan det ikke gå helt galt:

http://www.spywarefri.dk/vaerktoj.htm#spywareguard
http://www.spywarefri.dk/vaerktoj.htm#spywareblaster
http://www.spywarefri.dk/vaerktoj.htm#ieprivacy
http://www.spywarefri.dk/vaerktoj.htm#adaware
Mozilla gør det ikke alene :O)
Avatar billede ostehamster Nybegynder
01. juli 2004 - 16:24 #13
Hmm, det var da en sjat, men det vil jeg kigge på :)

Hvordan kan det egentlig være, at der er så meget til Windows, og næsten intet til Linux. Er det fordi man ikke kan i Linux, eller er det fordi der ikke er nogle der gider lave til Linux?
Avatar billede andersenph Nybegynder
01. juli 2004 - 16:27 #14
Det er fordi det ikke er trendy at lave viruser til et gratis styresystem.
Så man behøver ikke beskytte sig på samme måde som ved mikrodåse
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
08/0410:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
White papers
Flere white papers »