Søg
Avatar billede jammerlab Nybegynder
15. januar 2005 - 12:36 Der er 6 kommentarer og
1 løsning

Hijack this log

Den har en forkert about:blank side i internet explore.

Logfile of HijackThis v1.99.0
Scan saved at 12:35:54, on 15-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\ABIT\ABITEQ\abiteq.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\mysql\bin\winmysqladmin.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Ronnie Jespersen\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\RONNIE~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\RONNIE~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {221EFFF0-37DE-493F-992D-3104B662AB32} - C:\WINDOWS\System32\pbfff.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ABITEQ] C:\Program Files\ABIT\ABITEQ\abiteq.exe -M
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE1BBC20-9518-43E2-BB58-F4F08E19FEA5}: NameServer = 212.242.40.3,212.242.40.51
O17 - HKLM\System\CCS\Services\Tcpip\..\{D944CC05-8029-4604-AA57-C8D5F058DD0E}: NameServer = 212.242.40.51,212.242.40.3
O18 - Filter: text/html - {CCC03351-20EA-475F-A125-79C277AC76AC} - C:\WINDOWS\System32\pbfff.dll
O18 - Filter: text/plain - {CCC03351-20EA-475F-A125-79C277AC76AC} - C:\WINDOWS\System32\pbfff.dll
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Group\Apache2\bin\Apache.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
Avatar billede levich Nybegynder
15. januar 2005 - 13:13 #1
Hej Ronnie. Start med at uninstall Messenger Plus!, da du måske er kommet til at sige ja til at installere noget ekstra programmer, da du installerede den. Installer den derefter forfra, og sikre dig at du ikke siger ja til det.

Slet disse:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\RONNIE~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\RONNIE~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Disse er jeg i tvivl om:
O2 - BHO: (no name) - {221EFFF0-37DE-493F-992D-3104B662AB32} - C:\WINDOWS\System32\pbfff.dll
O18 - Filter: text/html - {CCC03351-20EA-475F-A125-79C277AC76AC} - C:\WINDOWS\System32\pbfff.dll
O18 - Filter: text/plain - {CCC03351-20EA-475F-A125-79C277AC76AC} - C:\WINDOWS\System32\pbfff.dll
Vent lidt med at slette dem.
Avatar billede serverservice Praktikant
15. januar 2005 - 13:45 #2
Hej levich .Den infektion er lidt kringlet det er vigtigt at denne bliver slettet fra fejlsikret  C:\WINDOWS\System32\pbfff.dll<- filen , samt temp mapperne tømmes. Et godt råd - find en vejledning fra spywarefri, der skal nemlig også slettes fra registry og et effektivt våben er at køre mvaw scanneren i fejlsikret....pøj med det
Avatar billede levich Nybegynder
15. januar 2005 - 14:55 #3
Ok, alle ovenstående linjer skal altså fixes med HijackThis, også den jeg var i tvivl om.

Opret en ny folder (f.eks. c:\xyz), som alle nedenstående programmer skal kopieres til.

Hent denne engangsscanner: http://www.spywareinfo.dk/download/mwav.exe og dette program Spybot Search & Destroy: http://www.safer-networking.org/en/index.html.

Start med at gøre følgende:
Deaktiver systemgendannelse.
Åbn en mappe, klik i menuen på Funktioner > Mappeindstillinger > Vis
Fjern flueben ved "Skjul beskyttede operativsystemfiler"
Fjern flueben ved "Skjul filtypenavne for kendte filtyper"
Sæt prik i "Vis skjulte filer og mapper"
(husk at ændre mappeindstillingerne tilbage, når al spyware er væk)

Genstart i fejlsikker tilstand (tryk på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kør engangsscanneren mwav.exe med flueben i følgende:
<Memory>, <Starup Folders>, <Drive>, <Registry>, <System Folders> og <Services>
Sæt prik i følgende: <All Local Drives> og <Scan All Files>
Klik nu på knappen <Scan>. Det kan godt tage lang tid inden den er færdig.

Genstart computeren normalt og installer Spybot programmet, updater det og kør en scanning. Fjern de ting på liste, som ser mistænksomme ud. Her en en vejledning: http://www.safer-networking.org/en/tutorial/index.html.
Selv på en "ren" computer finder Spybot nogle "problemer". Cookies kan rolig fjernes. Jeg beholder det Spybot kalder "DSO exploits", som har noget at gøre med sikkerheden i Internet Explorer.
Avatar billede levich Nybegynder
15. januar 2005 - 14:57 #4
... først derefter kører du HijackThis og fixer de linjer jeg nævnte.
PS: Det kan være at nogle af linjerne bliver fjernet, når du kører engangsscanneren eller Spybot.
Avatar billede levich Nybegynder
24. januar 2005 - 11:56 #5
jammerlab -> Sker der noget fremskridt.
Avatar billede jammerlab Nybegynder
28. januar 2005 - 14:40 #6
Jep det ser ud til at havde fungeret :) Smid et svar, og tak.
Avatar billede levich Nybegynder
28. januar 2005 - 17:12 #7
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:15 PHP Html Af Asky i Programmeringsværktøjer
I dag 11:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
I går 16:53 HTML Af Asky i Programmeringsværktøjer
I går 10:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »