Søg
Avatar billede mortenlc Nybegynder
13. januar 2005 - 11:08 Der er 11 kommentarer og
1 løsning

Startside - about:blank Trusted start page

Hej,
Har et lille problem med denne statside. Den figurerer uden navn altså about:blank, men det er en search the web side med forskellige links. Alle links har følgende adresse http://nyam-nyam.biz/search.cgi?acc=;q=.
I internetindstillinger er startsiden about:blank. Jeg har kørt CWShredder så det er ikke en CWS, den er IKKE på min Hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 11:06:32, on 13-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe


Jeg har brugt X-clean, spybot og Adaware.
Jeg har kørt Kaspersky + antivir uden held.
Plejer altid selv at fjerne disse problemer, men er der nogen der kender netop denne hijacker?
Avatar billede steffansteffan Nybegynder
13. januar 2005 - 11:11 #1
argh ja den har jeg også haft rigtig mange problemer med. Jeg havde den i over 3 månedere indtil jeg formaterede min computer. Var faktisk årsag til Browser skifte ;)
Avatar billede fromsej Praktikant
13. januar 2005 - 11:26 #2
Det var ikke verdens længste log, har du selv fixet noget?
Hvis du har, så kør HJT igen, vælg Config->Backups, marker linierne en af gangen og klik på Restore.
Bagefter henter du en nyere Hijackthis, og kører en ny scanning.
http://danborg.org/spy/HJT/hijackthis.exe
Avatar billede mortenlc Nybegynder
13. januar 2005 - 11:34 #3
Hej Fromsej,

Med den nye version aj HJT ser den således ud:

Logfile of HijackThis v1.99.0
Scan saved at 11:30:13, on 13-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Morten Lesak\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O15 - Trusted IP range:  (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmer\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonal\AVWUPSRV.EXE


De to R0 med startside about:blank havde jeg selv fjernet i fejlsikret tilstand men 015 har ikke været der før så det er vel den der er problemet?
Avatar billede fromsej Praktikant
13. januar 2005 - 11:42 #4
Fixes: (Jeg går ud fra du ved hvordan*S*)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O15 - Trusted IP range:  (HKLM)

Åbn notepad/notesblok og kopier dette ind:


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]


Gem dette som clear.reg
Under filnavn, sæt filtype til alle filer

Efter du har gemt denne fil, dobbeltklik på den, og sig ja til at flette.

Åbn notesblok, kopier dette ind, gem filen som range.reg.
Dobbeltklik på range.reg og sig ja til at flette.

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges]


Genstart så og kom med en ny log.
Avatar billede mortenlc Nybegynder
13. januar 2005 - 12:03 #5
Har fixet de tre punkter i HJT, men har et meget banalt problem!
Jeg kan ikke åbne Notesblok! Har forsøgt 20 gange nu...
Kan den gendannes på en eller anden måde?

Eller kan problemet fixes uden notesblok?
Avatar billede fromsej Praktikant
13. januar 2005 - 12:29 #6
Notesblok ligger mindst to forskellige steder, den du som standard bruger ligger i C:\windows\system32, prøv at åbne C:\windows og brug den der ligger der.
Filen hedder Notepad.exe.
Det er CWS der har mingeleret med din Notesblok, så jo det er en CWS infektion du har.
Avatar billede mortenlc Nybegynder
13. januar 2005 - 13:03 #7
Hej igen,

Nu har jeg gjort som du sagde og her er den nye log:

Logfile of HijackThis v1.99.0
Scan saved at 13:01:11, on 13-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Documents and Settings\Morten Lesak\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmer\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmer\AVPersonal\AVWUPSRV.EXE
Avatar billede mortenlc Nybegynder
13. januar 2005 - 14:13 #8
Hej Fromsej,

Her er en løsning jeg fik fra et engelsk forum:

SHORT SOLUTION: Start up in safe mode. Delete directory ":\Program Files\PPC Advertor\". Open IE and type in a new start page. Restart to normal windows.

På den måde havde han fjernet problemet, men jeg har lige forsøgt at slette men får denne melding: Det er ikke muligt at slette ppc.dll:Adgang nægtet. Kontroller, at disken ikke er fuld eller skrivebeskyttet, og at filen ikke er i brug.

Hvordan kan jeg få adgang til at slette filen?
Avatar billede mortenlc Nybegynder
13. januar 2005 - 14:21 #9
Har lige scannet den fil med Jotti's malware scan 2.42:
INFECTED/MALWARE : Trojan.Win32.StartPage.se, så der er vidst ikke meget tvivl om at det er hele problemet!

Men den kan ikke slettes!
Avatar billede mortenlc Nybegynder
13. januar 2005 - 14:54 #10
Hej igen,

Jeg har løst problemet. Jeg downloadede Dr Delete og slettede filen \Program Files\PPC Advertor\. Nu kører det hele som det skal igen!

Tak for hjælpen alligevel Fromsej og 200 point til dig.
Avatar billede fromsej Praktikant
13. januar 2005 - 15:52 #11
Velbekomme, tag du bare dine point igen.*S*
Eller giv mig 15 for forsøget, 200 er meget.
Jeg er mere glad for løsningen, den kendte jeg ikke.

Links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede mortenlc Nybegynder
13. januar 2005 - 16:19 #12
Jeg går ikke så meget op i de points må jeg nok indrømme, men du får dine 15 points!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andre onlineløsninger kategorien

Titel Indlæg Oprettet Seneste aktivitet
Mobilpay svindel Af nu_igen i Andre onlineløsninger 8 24/01/202609:50 26/01/202612:02
Streaming af film Af jgormm i Andre onlineløsninger 4 27/09/202508:01 28/09/202510:12
Drop i Core Web Vitals i Google search console Af Elby i Andre onlineløsninger 0 08/08/202514:32 -
hvilken AI foretrækker I ? Af jcr18 i Andre onlineløsninger 5 07/05/202521:10 24/01/202611:03
Hvordan dæmmer man bedst op for 'bots' på sin hjemmeside? Af hudsonium i Andre onlineløsninger 5 29/03/202514:28 03/06/202508:10
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:08 Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP
28/0113:36 godt råd søges Alternativ styresystem på Mac pc Af luffe1955 i Andre styresystemer
28/0111:32 Hjælp til kontrol af sygefravær Af Maja i Excel
27/0113:59 2 skærme til en stationær computer Af BIRGER i Skærme
26/0119:26 Opstart af ny computer Af Bent i Windows
White papers
Flere white papers »