Søg
Avatar billede jakobclausen Nybegynder
22. september 2004 - 23:44 Der er 13 kommentarer og
1 løsning

Træls searchbar

Min computer er blevet angrebet af en træls searchbar, som jeg meget gerne vil slippe af med:

I internet Explorer: www.bokaj.dk/eksperten/search1.jpg
Over alt: www.bokaj.dk/eksperten/search2.jpg

Jeg har scannet og fjernet alt hvad der blev fundet, med ad-aware og spybot.

Her er min HiJackThis log:
- - -
Logfile of HijackThis v1.98.2
Scan saved at 23:43:49, on 22-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Messenger\Plus! 3\MsgPlus.exe
C:\PROGRA~1\ICQ\ICQ.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmer\Spamihilator\spamihilator.exe
C:\Programmer\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\DOCUME~1\Jakob\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\Jakob\LOKALE~1\Temp\kavss.exe
C:\Programmer\xnews\Xnews.exe
C:\Programmer\Avant Browser\iexplore.exe
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eksperten.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.drljfcplafwor.com/n0Mt7fnYdM_vgPkTPci4D1cozpCTCET_v70NmZCW2Nr818Xe62//2X2DOQJjtFEi.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger\Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Warn Poll] C:\PROGRA~1\AntiDumb\math boob.exe
O4 - HKLM\..\Run: [keepthisjugsokay] C:\Documents and Settings\All Users\Application Data\junk slow keep this\bows platform.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmer\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger\Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://10.10.38.100/activex/AxisCamControl.ocx
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {F9408298-9658-482C-8B02-93F09A80225F} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0104.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C45203AF-2F85-4218-9DFF-D17F0E87640C}: NameServer = 10.10.0.1

- - -

PÅ forhånd tak!
Avatar billede jakobclausen Nybegynder
22. september 2004 - 23:47 #1
HVis jeg højreklikker på baren og vælger egenskaber, kan jeg se den referere til:
http://mysearchnow.com/passthrough/newpass2.html
Avatar billede tonnybrandt Nybegynder
22. september 2004 - 23:52 #2
Jeg prøver at kigge på den ..
Avatar billede jakobclausen Nybegynder
22. september 2004 - 23:55 #3
Jeg har lige prøvet at søge efter "mysearchnow.com" i regedit og der finder den noget under:
HKEY_CURRENT_USER -> Software -> Microsoft -> Internet Explorer -> New Windows -> Allow

Kan der ske noget ved at slette dem ??
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 00:02 #4
Normalt sætter jeg altid ind at du skal hente mwawscanneren og scanne for virus, men den kører allerede kan jeg se i dine processer. Så prøv nedenstående:

Du skal genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Gå i Tilføj/fjern programmer og fjern Messenger plus 3. Den kommer med et sponsorprogram som er snavs.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.drljfcplafwor.com/n0Mt7fnYdM_vgPkTPci4D1cozpCTCET_v70NmZCW2Nr818Xe62//2X2DOQJjtFEi.html
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger\Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Warn Poll] C:\PROGRA~1\AntiDumb\math boob.exe
O4 - HKLM\..\Run: [keepthisjugsokay] C:\Documents and Settings\All Users\Application Data\junk slow keep this\bows platform.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger\Plus! 3\MsgPlus.exe" /WinStart

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\Programmer\Messenger\Plus! 3
C:\PROGRA~1\AntiDumb
C:\Documents and Settings\All Users\Application Data\junk slow keep this

Filer:
<ingen>

Genstart normalt og kom med en ny log til kontrol
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 00:04 #5
Nej, den registrering må du gerne slette. Den nøgle kan ikke ses i HiJackThis, så den ville blot være blevet der, hvis ikke du havde søgt i reg.basen.
Avatar billede jakobclausen Nybegynder
23. september 2004 - 00:14 #6
Der sker ikke rigtig noget når jeg trykker F8 - er det meget nødvendigt at det er i fejlsikret?
Er det ikke noget med at man kan indstille i bios, om den skal understøtte tastetur?
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 00:23 #7
Problemet er alle dine sikkerhedsprogrammer, som kan "beskytte" nogle af de registreringer som vi skal fjerne. Det er derfor jeg godt vil have den i fejlsikret tilstand.

Mht tastatur, så se om der er et punkt, der hedder noget med legazy under usb i bios. Den skal være enablet.

Hvis du ikke kan få den i fejlsikret, så træk netstikket, og luk herefter alt hvad der ligner sikkerhdsprogrammer ned, såsom firewall og (anti)spywareprogrammer, og hav kun HiJackThis åben når du fixer, og kun stifinderen åben når du sletter mapper.

Efterfølgende genstarter du den og sørger for at sætte dine sikkerhedsprogrammer til igen, før du går på nettet.
Avatar billede jakobclausen Nybegynder
23. september 2004 - 00:41 #8
Så fik jeg det til at virke med tastaturet og her er min nye log:
- - -
Logfile of HijackThis v1.98.2
Scan saved at 00:39:19, on 23-09-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Spamihilator\spamihilator.exe
C:\Programmer\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eksperten.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmer\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://10.10.38.100/activex/AxisCamControl.ocx
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {F9408298-9658-482C-8B02-93F09A80225F} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0104.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C45203AF-2F85-4218-9DFF-D17F0E87640C}: NameServer = 10.10.0.1
- - -

NB! Skal denne være der?: O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Avatar billede jakobclausen Nybegynder
23. september 2004 - 00:42 #9
- og det ser ud til at skidtet er væk!
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 00:47 #10
Den er fin og ren nu. Jeg går ud fra at menu-bar'en er forsvundet.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Ja, det skal den. Det er til dit Nvidia grafikkort. Det er ikke snavs.
(Den er faktisk overflødig hvis man ikke vil have muligheden for at ændre opløsning mv nede fra Systray, men i så fald kan der fjernes rigtigt mange overflødige programmer)

Jeg vil ikke give dig et link til pakken på Spywarefri, da jeg kan se at du er godt beskyttet.
Avatar billede jakobclausen Nybegynder
23. september 2004 - 00:49 #11
Ja det skulle jeg mene - det var spywareguard der gjorde mig opmærksom på at der var noget BHO og derefter kom search baren.

Jeg takker mange gange, pointene er dine!
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 00:51 #12
Velbekomme og jeg takker for point :)
Avatar billede jakobclausen Nybegynder
23. september 2004 - 01:00 #13
Så fik du også lige lidt karma her fra :)
Avatar billede tonnybrandt Nybegynder
23. september 2004 - 07:21 #14
Den takker jeg også for *s*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 21:05 Questyle M15i lydforstærker Af valby i Diverse
I går 18:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
I går 13:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
I går 10:48 Back up af foto til ekstern harddisk Af hkprofil i Office & Kontorpakker
10/0517:11 Har glemt navn på min ene konto på eksperten! Af ErikHg i Fri debat
White papers
Flere white papers »