Søg
Avatar billede le_bon Nybegynder
28. juli 2004 - 13:44 Der er 23 kommentarer og
1 løsning

Possible Browser Hijack attempt!

G'dag!

Ad-aware har i lang tid fortalt mig at der er en "Possible Browser Hijack attempt!" på min PC. Ad-Aware fjerner imidlertid ikke problemet selv, så nu prøver jeg med en Hijack This - log:


Logfile of HijackThis v1.97.7
Scan saved at 13:47:30, on 28-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Simon\Desktop\HijackThis\hjt.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hotkey.lnk = C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Save with Download Manager... - C:\Program Files\J River\Media Jukebox\DMDownload.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37954.1494097222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Håber der er en der gider tjekke den igennem!

le_bon
Avatar billede pimpz Nybegynder
28. juli 2004 - 14:08 #1
har du prøvet at bruge Spybot http://www.download.com/3000-8022-10289035.html?tag=lst-0-2 Den finder nogen ting som ad-aware ikke fanger :)
Avatar billede le_bon Nybegynder
28. juli 2004 - 14:25 #2
pimpz >> Ja, Spybot, SpywareBlaster, CWShredder og Ad-Aware....ingen af dem fjerner problemet. :o(
Avatar billede pimpz Nybegynder
28. juli 2004 - 14:31 #3
Hvad så med en online virus scan. Eks. housecall http://housecall.antivirus.com/housecall/start_frame.asp
Avatar billede pimpz Nybegynder
28. juli 2004 - 14:34 #4
Hmmm faldt lige over dette link. http://www.pestpatrol.com/pestinfo/p/possible_browser_hijack_attempt.asp
Ser ud til de har styr på det hos Pest Patro :)
Avatar billede magictouch Nybegynder
28. juli 2004 - 14:56 #5
le-bon> Vil du lige tjekke den her: :\WINDOWS\System32\sistray.EXE og højreklik-egenskaber, og se om det er en legal fil
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 15:22 #6
Siger Adaware ikke noget mere præcist om hvad problemet er ?
Avatar billede le_bon Nybegynder
28. juli 2004 - 15:34 #7
magictouch >> Den ser helt fin ud.

pimpz >> Jeg kigger lige nærmere på Pest Patro.

forevernewbie >> Jo, den siger at der bliver fosøgt på at ændre min startside til en anden side. - Dette sker dog aldrig, men det irriterer mig at den er der alligevel.
Avatar billede pimpz Nybegynder
28. juli 2004 - 15:40 #8
Har du styr på det ?
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 15:53 #9
Prøv lige det her. Gå til din startside og gå i Funktioner> Internetindstillinger, klik "brug aktuel side" > Anvend > OK . Adaware brokker sig nok igen, men sig bar ja. Det kan være at den så tier stille.
Avatar billede le_bon Nybegynder
28. juli 2004 - 15:59 #10
forevernewbie >> Det hjalp desværre ikke. :o(
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 16:09 #11
Hmm, jeg har en lille mistanke, det er et "langskud", den her som er helt legal, og bruges af dit keybord. O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe. Den kan starte din browser. Den ligger i tray ved uret. Det kunne være et forsøg at disable den, for at se om det kunne være synderen. Den må ikke fixes, da den skal køre i "run" *S*
Avatar billede le_bon Nybegynder
28. juli 2004 - 16:18 #12
forevernewbie >> Desværre...virkede heller ikke. Har i øvrigt haft iTouch installeret i et år, og problemet er først opstået for ca. 2 måneder siden.

Her er i øvrigt hvad Ad-Aware siger:

Vendor:Possible Browser Hijack attempt
Category:Data Miner
Object Type:RegData
Size:-
Location:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
Last Activity:28-07-2004
Risk LevelMedium
Comment:Possible browser hijack attempt
Description:Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 16:24 #13
OK, prøv lige at lægge en log fra den nyeste version af HijackThis http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Avatar billede le_bon Nybegynder
28. juli 2004 - 16:38 #14
Ok! Here goes:

Logfile of HijackThis v1.97.7
Scan saved at 16:41:18, on 28-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Simon\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hotkey.lnk = C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Save with Download Manager... - C:\Program Files\J River\Media Jukebox\DMDownload.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37954.1494097222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 17:13 #15
Den er også ren. Jeg kom i tanke om at jeg havde et lignende problem med Spysweeper, for et stykke tid siden. Jeg var kommet til at slette Explorers blanke side, som også hedder  ABOUT:BLANK. Spysweeper brokkede sig over at den ville gendanne sig, fordi den reagerede på navnet. Jeg sagde ja til ændringen, og stillede min startside bagefter. Jeg ser at du også har Spywareguard. Det kan godt give konflikter at have to programmer til at passe på startsiden
Avatar billede le_bon Nybegynder
28. juli 2004 - 17:27 #16
forevernewbie >> Jeg tror faktisk du har ret, at det er Spywareguard og Ad-Aware der konflikter. - For Spywareguard kommer frem hver gang Ad-Aware prøver at ændre startsiden. Det kan jeg jo egentlig godt leve med, der sker jo ingenting i virkeligheden. - Og jeg vil ikke undvære nogen af programmerne.

Tak for hjælpen, smider du et svar?
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 17:31 #17
Velbekomme, og godt det løste sig
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 17:36 #18
Iøvrigt, du kan godt indstille Spywareguard, så den ikke passer på startsiden, men bevarer sine øvrige funktioner. Det er et ef fluebenene der skal fjernes. Jeg kan dog ikke lige huske hvilket.
Avatar billede le_bon Nybegynder
28. juli 2004 - 17:42 #19
Har fundet fluebenet, men jeg tror bare jeg beholder det, for de andre spyware-programmer passer jo ikke på "realtime". Er en gang blevet ramt af CoolWebSearch og det var en krig at slippe af med skidtet...det vil jeg ikke resikere igen!! c",)
Avatar billede le_bon Nybegynder
28. juli 2004 - 17:42 #20
rIsikere
Avatar billede forevernewbie Nybegynder
28. juli 2004 - 17:46 #21
Forståeligt, man kan næsten ikke beskytte sig nok i disse tider.
Avatar billede nictor Nybegynder
28. juli 2004 - 17:55 #22
Lige kort:
Oplever samme problem med Ad-Aware, der har Abaut:Blank som mulig hijack.
Lever med det, men ellers kan du sætte Ad-Aware til at ignorere i fremtidige scanninger.
Jeg har ikke selv valgt løsningen da jeg gerne vil have respons dersom Abaut:Blank virkelig forsøger at Hi-Jacke medens jeg er på nettet.
Avatar billede le_bon Nybegynder
28. juli 2004 - 18:04 #23
nictor >> Ja, det var en mulighed, men jeg tror bare jeg lever med det, som dig, for som jeg skrev ovenfor, så kan det være noget djævelskab at slippe af med når det IKKE er falsk alarm. c",)
Avatar billede fromsej Praktikant
28. juli 2004 - 20:01 #24
I må ikke sætte Ad-aware til at ignorere About:blank, lev med den "false positive" i stedet for.
Kommer den rigtige ind får i ingen advarsel ellers.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
I går 18:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
11/0513:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
White papers
Flere white papers »